关于 Worm:Win32/Conficker.D [转译]


<<本文章转译自 Microsoft Malware Protection Center 博客文章 “Information about Worm:Win32/Conficker.D">>

在过去的几个月中,微软收到了关于 Conficker 蠕虫四个变种的报告,最新的变种是Worm:Win32/Conficker.D (也称为 Downadup.C,在最近的一些报刊文章标记这个变种为 Conficker.C ; 具体如何区分变种可以参见图表 Win32/Conficker)。针对以往不同的 Conficker 的变种 (A/B/C),我们采取的是产业联盟,组织以社区为基础的合作,减低 Conficker 蠕虫所带来的威胁,通称 Conficker 工作组。

工作组 (WG) 所采取的措施之一是防止已感染 Conficker 的机器从网站下载附加的恶意软件。Conficker 的变种蠕虫程序可以监测并下载可执行二进制文件,措施的实施就是阻止 Conficker 变种蠕虫与 500 个域名的通信 (250 Conficker.A 和 250 Conficker.B/C)。这样做有助于控制受感染的机器如病毒作者所愿,继续造成进一步的损害。

在 2009 年 3 月 4 日, Conficker.D 成为 Conficker 最新的家庭威胁成员。它修改了 “打电话回家” 机制,每天随机从 50000 域名中随机挑选 500 个域名尝试沟通恶意软件作者。除此之外,还采用了点对点(P2P)的机制,使它能够从其他 Conficker.D 感染的计算机中分发和接收命令。这种 “打电话回家” 机制被编入程序,从 2009 年 4 月 1 日开始运作。

我们从这里可以看到指挥和控制 Conficker.D 感染的计算机由两个步骤组成:

1. 每天从 50000 个新生成的域名中新登记一个域名,大约有占 1% 的 Conficker.D 感染的计算机将能够从恶意软件作者中接收指令。

2. 利用 P2P 的机制,这些机器将能够向其他被 Conficker.D 感染的机器分配原始指令。

转向 P2P 的机制为 Conficker.D 从蠕虫病毒的作者手中接受和分发更多的恶意软件开辟了新渠道。这些额外的代码非常复杂,程序也将愈加不依赖于域名沟通,这可能是由于产业联合采取打击Conficker 的努力而迫使恶意软件作者做出改变。

以下的时间轴演示了目前为止 Conficker 蠕虫病毒所发生的一系列主要事件:

2008 年 11 月 21 日 — Worm:Win32/Conficker.A 被发现。显著行为包括:

  • MS08-067 漏洞利用
  • 对 DNS 挂接,防止感染机器连接到流行的安全站点
  • 每天连接到伪随机产生的 250 个主机与蠕虫作者通讯
  • MD5 散列与 1024 位元 RSA 数字证书

12 月 29 日 2008年 — Worm:Win32/Conficker.B 被发现(距离 Conficker.A 发现时间 38 天)。与 Conficker.A 显著差别包括:

  • 通过 TCP/445 的网络共享感染。
  • 可移动磁盘传播(U盘)
  • 每天连接到伪随机生成的不同组的 250 个主机。
  • MD6 散列与 4096 位元 RSA 的数字认证。

2009 年 1 月 13 日 — MSRT 支持对于Worm:Win32/Conficker.A and B 变种的查杀

2009 年 2 月 12 日 — 微软与产业合作来共同阻碍Conficker蠕虫

2009 年 2 月 20 日 — Worm:Win32/Conficker.C 被发现 (距离 Conficker.B 被发现有 53 天)。Conficker.C 变种与 Conficker.B 的显著不同有:

  • 利用 MS08-067 漏洞的点对点通信

针对 Conficker 蠕虫的产业联盟形成后仅仅 8 天,一个新的变种出现了。在利用伪随机生成主机名与恶意软件作者通信并且接收命令之外,这个变种还用了新的不同的通信方式。蠕虫:Win32/Conficker.C 能够从其他感染 Conficker 的机器上识别出进入的 MS08 - 067 漏洞利用的企图,并且从一个 URL 下载链接上接收命令。这个变种标志着 Conficker 开始从基于命令与控制的通信方式转向更有韧性的 P2P (点对点)的机制。

2009 年 3 月 4 日 — Worm:Win32/Conficker.D 被发现 (距离 Conficker.B 发现有 65 天)。显著的行为有:

  • 从 2009 年 4 月 1 日起每天从伪随机产生的 50000 个中随机选取 500 个主机名连接
  • 与其他感染 Conficker.D 的机器进行点对点通信

2009 年 4 月 1 日 — Conficker.D “打电话回家” 机制启用

那么我们预期在 2009 年 4 月 1 日会遇到什么情况呢?基于被 Conficker.D 感染的机器数量相对比较少,在 4 月 1 日我们遇到不正常的情况的概率不大。但是,我们会遵循我们一贯的处事方式,对于任何可能产生的不同寻常的情况采取行动。为了能够得到保护,请大家确保您的系统更新了 MS08–067 和安全软件的签名,并且清除任何已被确定被 Conficker 感染的系统。

关于 Conficker 的更多相关保护或消除感染的信息,大家可以在我们的百科全书中阅读 Win32/Conficker

感谢 Jammy Kuo, Ziv Mador, Jeremy Croy 以及研究院同事 Aaron putnam 和 Cristian Craioveanu.

— Vincent Tiu

Comments (0)

Skip to main content