DoSECU 安全报道 3月31日消息:美国东部时间3月30日,最近Honeynet Project的研究有了新发现,他们找到了在感染PC上检测Conficker蠕虫的新方法。据悉,迈克菲和Qualys也开始利用新检测方法对自己的扫描工具进行了改善。
安全专业人员已经发现了如何在受Conficker蠕虫感染的PC上进行检测的新技术。
检测的新技术的研究成功还应归功于Honeynet Project两个成员的最新发现,他们发现了Conficker企图在网络管理员面前隐匿自己,然而这一做法可能会适得其反。Conficker 使用一个假的Microsoft的漏洞补丁进行防御,研究人员推测这不仅意味着他们在欺骗管理员以进入修补过的系统,还意味着防止其他类型的恶意软件利用漏洞。
然而,Honeynet Project研究人员Felix Leder和Tillmann Werner 指出Conficker"修复"系统的方式存有漏洞,并且人们可以利用其检测是否一台PC已经感染了Conficker蠕虫。这一发现促使Conficker Cabal(专门对抗Conficker的研究员和厂商小组)开始将这些新发现用在实处以帮助网络扫描器检测它们。
"我们的发现确实很棒:Conficker实际上改变了Windows在网络上的样子,这一改变可被远程地、匿名地非常迅速地被检测到。"IOActive入侵检测部门主管Dan Kaminsky在他的个人博客中写道,"你可以字面上问服务器是否受到了Conficker感染。"
他解释说,该蠕虫"让NetpwPathCanonicalize与以往未打补丁的或MS08 – 067补丁版本大不相同。" 3月30号,Leder和Werner发布了相关文章,更详细地描述了情况,并且推出了他们自己的"概念型"扫描器,该扫描器可检测不同的补丁。
据报道,几个扫描工具供应商正在将这一新发现用在产品(如开源Nmap)和技术(如Qualys和迈克菲)中。
Conficker首次出现是在2008年年末,它以微软的Windows Server服务为攻击对象。最新的变种被命名为Conficker C(但是还有着同样的知名的名字如Downadup和Conficker D),从4月1日起,该蠕虫编写者将开始接触5万个域名中的500个域。