4月1日,Conficker 病毒并没有像传言那样发作,似乎表面一切正常。
当然,事情没有这么简单。在最近的一次爆发中,仍将有大量的信息身处险境。下面,我试着对Conficker 病毒的新功能加以总结。
4月7日/8日期间,Conficker 再次有所动作。发作之后,Conficker 利用点对点 (P2P) 信道进行自动通报,而非通过 HTTP rendez-vous 启动最新的恶意攻击。这种情况下,感染病毒的主机将首先由另一主机通过对等 P2P 连接进行通讯。这有些类似于闹钟。然后,在几个小时的时间里,一旦"唤醒"病毒,通讯将会再次启动 ,这一次则是由感染病毒的主机发出。
可以肯定的是,Conficker 的更新并非"一气呵成"。当该流量(aka 更新)渐渐消失或至少大部分都无法监控到,则表示其通过分段及不对称 UDP 通讯完成了通讯。
那么接下来会发生什么呢?该 P2P 通讯流结束后,一般会指示主机进入某个域并下载文件。这时该 TCP"登场了"。感染病毒的主机会访问某个地址,并下载一份加密的可执行文件。一旦执行该文件,它将包含诸如不断变种的FakeAlert 甚至 Waledac 这类恶意软件。所以最终,我们可能会看到类似于以下截图的情景:
我们还可以看到,有些主机已被植入了 Waledac payload。(事实上,它可能包含不法之徒在这些域上植入的任何内容。)
这些下载的内容分别被检测为 FakeAlert-SpywareProtect 和 Waledac.gen.b。
同时作为 payload 程序的一部分下载下来的,是我们熟悉的类似于 MS08-067 的"热"补丁。而这一次,它更接近于原始补丁 – 因为这样可以躲过检测。(请注意:我们的 McAfee Conficker Detection 工具正在重新设计中,旨在支持对最新变种的检测。)
还有两条值得注意的事情。第一条就是要关注新的截止日。5 月 3 日,该最新变种就将过期。细想一下,这一点会让我们联想到很多有趣的问题。比如说,这是否只是偶然散播 Waledac 的 Conficker 开发团队的一次小试验?亦或只是出于其他的个人原因(比如转移注意力)采取该措施?或许这只是租用的 botnet 的截止日期?我想大多数安全机构一定都在思考这些有趣的问题。
第二条是,当感染病毒的主机解析 HTTP rendez-vous 域名时,它会将解析的 IP 与已查询过的 IP 列表进行对比,如果新 IP 存在于列表中,那么它将继续对比列表中的下一个域。
当然,如有其他事情发生,我们将会及时通报。