DoSECU 安全报道 4月13日消息:外媒消息,本周四有专家在发现两个蠕虫病毒之间的关联后表示,感染了数百万台Windows计算机的Conficker蠕虫病毒可能会被用来传播垃圾邮件和窃取数据,表现形式类似互联网上最具威胁的僵尸网络。
在Conficker蠕虫病毒发作一周后,本周三更多Conficker蠕虫变种从潜伏状态中被激活,被感染的计算机传输渠道通过对等网络被升级,对个人电脑中植入payload程序。专家猜测payload程序可能会是一种keystroke logger,垃圾邮件群发器或者两者都是。
目前Conficker正在试图连接到MySpace.com, MSN.com, eBay.com, CNN.com和AOL.com上,以测试被感染计算机的网络连接。它还会删除所有在主机中留下的痕迹,并被设定在5月3号那天发作关闭某些功能。
另外Conficker蠕虫会和被Waledac蠕虫感染的域关联起来,下载加密文件。专家分析这些代码和程序会通过被感染的计算机再直接传染其他的计算机。他们猜测Conficker和Waledac病毒都来自同一个病毒制造者。
趋势科技的高级风险研究员保罗.菲克斯表示"我非常肯定是同一个在后面操纵着这两个病毒。Conficker病毒上到处都是Waledac病毒制造者的痕迹"。
感染了Waledac病毒的计算机里包含了被菲克斯称之为"互联网上危害最大的垃圾邮件僵尸"。Waledac病毒主要通过恶意网络链接或者电子邮件进行传播,典型的做法是假冒圣诞卡,情人节信息或者以总统奥巴马就职典礼为标题来诱骗他人上当。它会散发垃圾邮件和从被感染计算机中窃取用户密码等数据信息。
菲克斯表示他认为东欧人是Waledac病毒背后的始作俑者。他猜测他们制造了Storm僵尸网络来尝试不同的有payload程序和商业模式,Waledac病毒也是根源自那里。菲克斯推测他们可能将某些早期吸取的经验在Conficker病毒上付诸实践。
菲克斯表示"目前有证据表明,这些人是受雇于以盈利为目的的网络犯罪组织,Conficker病毒就是这个组织用来牟利的最佳工具"。
赛门铁克安全咨询部的副总裁Vincent Weafer肯定的说Waledac和Conficker有所联系,但是并不肯定是谁在传播这种蠕虫病毒。事实上目前Conficker下载了一个Waledac文件再次证实了我们的推测,即这种病毒的设计初衷是用来盈利的大型僵尸网络病毒。他表示"这也是首个病毒制造者如何试图通过制造僵尸网络来盈利的行动"。
Weafer谈及Conficker病毒最新代码上显示的5月3号有效期时表示,看起来它会试图关闭与首个Conficker病毒变种-Conficker.A有关的代码,这将为互联网制造更多的麻烦。
赛门铁克的专家称最新的Conficker代码正在流行一种蠕虫的新型变种,叫做Downadup.E,而Downadup是Conficker病毒的别称。
这种蠕虫病毒通过微软公司10月为Windows打的补丁程序进行传播,也可以通过可移动存储设备和密码薄弱的共享网络传播。这种蠕虫病毒会令安全软件瘫痪,阻止用户访问安全网络站点。
为了检查你的计算机是否被感染,用户应该使用Conficker Eye Chart或者波恩大学的网站进行检测。在Download.com上也有删除Conficker病毒的指导。
专家提醒用户在使用Conficker专杀工具时要多加小心。Marshale8e6发现有垃圾邮件利用用户对Conficker病毒的恐慌心理来诱骗用户安装假冒的反病毒软件。这种电子邮件信息号称是来自微软安全部门,提供了假冒计算机扫描的网站链接,提示来访者购买反病毒软件,而这种软件除了会在计算机上安装木马程序外别无他用。
另外利用搜索引擎来寻找Conficker专杀工具可能不是一个好主意。趋势科技发现谷歌搜索引擎搜索与Conficker病毒有关的条目得出的结果中包含了木马程序的链接。趋势科技推荐用户直接登录可信赖安全厂商的网站去获取软件,而不是使用通用引擎。
同时Conficker病毒还催生了一种模仿Conficker病毒的Neeris蠕虫,这种蠕虫已经活跃了好几年,可以通过MSN Messenger在线聊天系统进行传播,但是一种模仿Conficker的新型变种已经形成,据微软的说法,它也可以像Conficker那样利用Windows漏洞,或者通过远程存储设备进行传播。