Conficker變種 與W32.Waledac攜手
【文/賽門鐵克‧編校/倪慈緯】2009/4/10 下午 03:12:18
微軟難得懸賞的愚人節病毒Conficker蠕蟲,並未如期在4/1有任何動作,但在靜悄悄的度過愚人節後,Conficker蠕蟲卻有新的動作。4月8號賽門鐵克在誘補系統中發現新的變種樣本Downadup.E。
在靜悄悄的度過愚人節後,Conficker蠕蟲 (worm) 又開始新的動作。4月8號賽門鐵克安全應變中心在誘補系統中發現新的變種樣本Downadup.E。新的變種透過P2P(peer-to-peer)的方式與已遭Downadup.C入侵的電腦通訊,嘗試更新Downadup.C,並下載W32.Waledac(Waledac是目前最活躍的垃圾郵件Bot傀儡程式)。Waledac會竊取受害者機密資訊,將被入侵電腦轉為垃圾郵件殭屍電腦,建立系統後門以便遠端遙控。另外,在這個新樣本中,該變種出現一種前所未見的「自我移除」功能,設定於5月3日自動將本身自受感染的主機上移除。
同時賽門鐵克也接獲報告指出,在一些誘捕系統中,一隻叫做Spyware Protect 2009的誤導型應用程式(Misleading Application)也被下載到電腦上。這些誤導型應用程式提供虛假的或誇大的用戶系統安全威脅報告,欺騙使用者使其誤以為系統已受感染,藉以說服用戶花錢購買軟體,或升級到據稱能夠「消除威脅」的偽裝安全軟體版本。兩者之間的關聯尚未被證實,然而誤導應用程式確實是之前分析Conficker攻擊的動機之一。
賽門鐵克建議民眾保持下載並安裝Windows系統最新的安全更新程式,並更新至最新的病毒定義檔。同時在瀏覽可疑網站、電子郵件及其附件時提高警覺。
由於Downadup.E會連接到下列網站取得相關網路IP位址,檢查是否有更新的相關病毒程式,建議使用者封鎖這些網址:
·http://checkip.dyndns.com
·http://checkip.dyndns.org
·http://www.findmyip.com
·http://www.findmyipaddress.com
·http://www.ipaddressworld.com
·http://www.ipdragon.com
·http://www.myipaddress.com
·http://www.whatsmyipaddress.com
Conficker新變種的特性如下:
•與 W32.Waldac之間可能的連結:在電腦被入侵後,兩個很類似的檔案名稱分別為484528750.exe 以及 484471375.exe,會在一分鐘前後分別出現在 \Windows\temp 資料夾中。這兩個檔案是W32.Waledac 以及 W32.Downadup 的變種。 間接的證據指出兩者的關連正是由W32.Downadup散佈 W32.Waledac。W32.Waledac可竊取機密資訊,並將受感染的電腦轉為垃圾郵件殭屍,同時在電腦上建立一個後門(back door)供駭客遠端遙控。賽門鐵克的防毒軟體及IPS防護皆可提供對Waledac的防護。
•自我移除功能:在這個新樣本中,該變種出現了一種前所未見的「自殺」功能-將於5月3日自動將本身自主機上移除。Conficker之前曾經依照日期下載二位元檔案或指令,然而自我移除的功能卻是首次出現。
•再度以 MS08-067 漏洞為媒介:原先 W32.Downadup(.B) 的變種包含了一些程式碼,利用NETAPI的 Microsoft Server Service RPC漏洞 (MS08-067)。 有趣的是,這個程式碼的部分在 .C 的變種中被移除了,但是在最新的樣本中,又再度被包含在裡面。
•建立HTTP伺服器:開啟5114埠口作為HTTP伺服器,可能是作為惡意程式的下載管道。
•更新IP位址檢查的主機名單:新版本的Conficker中,用以調查受侵害電腦IP位址的連結名單有些許調整。
更多新聞
.【資訊安全】 疫情引爆資安 趨勢科技籲警覺.【資訊安全】 遠端辦公成為資安高風險群.【資訊安全】 BEC詐騙 台灣受害北亞區居冠.【資訊安全】 思科助攻 打造遠距體驗.【資訊安全】 微軟攜手法務部 遏止殭屍網路.【資訊安全】 防疫當頭 Check Point提供安全技巧.【資訊安全】 F5亞太報告 關切網路安全.【資訊安全】 微軟五資安要點 助企業提前部署.【資訊安全】 區塊科技 推BEC方案.【資訊安全】 AEGIS CUSTODY攜手中國信託 推帳款資