捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 743 | 回覆: 0 | 跳轉到指定樓層
doudou10722
王子 | 2009-4-16 22:34:40

在靜悄悄的度過愚人節後,Conficker蠕蟲 (worm) 又開始新的動作。4月8號賽門鐵克安全應變中心在誘補系統中發現新的變種樣本Downadup.E。新的變種透過P2P(peer-to-peer)的方式與已遭Downadup.C入侵的電腦通訊,嘗試更新Downadup.C,並下載W32.Waledac(Waledac是目前最活躍的垃圾郵件Bot傀儡程式)。Waledac會竊取受害者機密資訊,將被入侵電腦轉為垃圾郵件殭屍電腦,建立系統後門以便遠端遙控。另外,在這個新樣本中,該變種出現一種前所未見的「自我移除」功能,設定於5月3日自動將本身自受感染的主機上移除。
同時賽門鐵克也接獲報告指出,在一些誘捕系統中,一隻叫做Spyware Protect 2009的誤導型應用程式(Misleading Application)也被下載到電腦上。這些誤導型應用程式提供虛假的或誇大的用戶系統安全威脅報告,欺騙使用者使其誤以為系統已受感染,藉以說服用戶花錢購買軟體,或升級到據稱能夠「消除威脅」的偽裝安全軟體版本。兩者之間的關聯尚未被證實,然而誤導應用程式確實是之前分析Conficker攻擊的動機之一。
賽門鐵克建議民眾保持下載並安裝Windows系統最新的安全更新程式,並更新至最新的病毒定義檔。同時在瀏覽可疑網站、電子郵件及其附件時提高警覺。
由於Downadup.E會連接到下列網站取得相關網路IP位址,檢查是否有更新的相關病毒程式:
hxxp://checkip.dyndns.com
hxxp://checkip.dyndns.org
hxxp://www.findmyip.com
hxxp://www.findmyipaddress.com
hxxp://www.ipaddressworld.com
hxxp://www.ipdragon.com
hxxp://www.myipaddress.com
hxxp://www.whatsmyipaddress.com
其他Downadup.E 資料請參考:
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-040823-4919-99&tabid=2
Conficker新變種的特性如下:
  • 與 W32.Waldac之間可能的連結:在電腦被入侵後,兩個很類似的檔案名稱分別為484528750.exe 以及 484471375.exe,會在一分鐘前後分別出現在 \Windows\temp 資料夾中。這兩個檔案是W32.Waledac 以及 W32.Downadup 的變種。 間接的證據指出兩者的關連正是由W32.Downadup散佈 W32.Waledac。W32.Waledac可竊取機密資訊,並將受感染的電腦轉為垃圾郵件殭屍,同時在電腦上建立一個後門(back door)供駭客遠端遙控。賽門鐵克的防毒軟體及IPS防護皆可提供對Waledac的防護。
  • 自我移除功能:在這個新樣本中,該變種出現了一種前所未見的「自殺」功能-將於5月3日自動將本身自主機上移除。Conficker之前曾經依照日期下載二位元檔案或指令,然而自我移除的功能卻是首次出現。
  • 再度以 MS08-067 漏洞為媒介:原先 W32.Downadup(.B) 的變種包含了一些程式碼,利用NETAPI的 Microsoft Server Service RPC漏洞 (MS08-067)。 有趣的是,這個程式碼的部分在 .C 的變種中被移除了,但是在最新的樣本中,又再度被包含在裡面。
  • 建立HTTP伺服器:開啟5114埠口作為HTTP伺服器,可能是作為惡意程式的下載管道。
  • 更新IP位址檢查的主機名單:新版本的Conficker中,用以調查受侵害電腦IP位址的連結名單有些許調整。
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表