Win32/Conficker 变种消息 [转译]

  • Article

<<本文章转译自 Microsoft Malware Protection Center 博客文章 “Win32/Conficker Variants Update">>

在过去的几天中,Conficker 战场上又有了一些新的发展。我们想告诉那些关心这些事的人们:MMPC 一直在努力确保你们能够得到所需的信息,以抵御任何威胁,并且可以对威胁本身有充分的认识。

最近主要有两个新报告的变种。我们很高兴地是微软产品例如 Windows Live OneCare、Windows Live OneCare safety scanner 和 Forefront 家族的产品,都能够使用现有的特征码检测出这两种新报告的变种,而无需 Worm:Win32/Conficker.gen!B 和 Worm:Win32/Conficker.gen!A 以后的更新。针对新变种 Worm:Win32/Conficker.DWorm:Win32/Conficker.E,目前已经加入了特定的检测机制。

第一个变种 (MD5: EB0787C5B388C685B406ED46AE077536 / SHA1:4887AB470FF4E49BB5F7D01331F3DF16B2BB507B) 在现有的 .D 变种的基础上有微小的变动。现有的特征库将这个变种报告为 Worm:Win32/Conficker.gen!B。在这个变种中找到的微小变动包括:

受感染系统中禁止运行的程序列表中,添加了包含这些字符串的程序:

  • bd_rem
  • cfremo
  • kill
  • stinger

另外,包含以下字符串的域被阻止访问:

  • activescan
  • adware
  • av-sc
  • bdtools
  • mitre.
  • ms-mvp
  • precisesecurity

这是一些安全工具和站点,受这个版本感染的用户在 4 月 1 日后将不能再使用和访问它们。

然而需要重申的是,任何使用微软工具的人不需要安装任何更新或作改动。

第二个新发现的变种 .E 正在吸引媒体的注意 (MD5: 677daa8bf951ecce8eae7d7ee0301780 / SHA1: 879e553b472242f3ec5a7f9698bb44cad472ff3b),我们的恶意软件研究实验室正在对它进行分析(这也是为什么是我有空来写这些,而不是他们)。现有的特征库把这个变种报告为 Worm:Win32/Conficker.gen!A。

粗看之下,这个变种被认为是 .A 的一个变种。并且很幸运的是,微软产品也能用现有的特征库检测出这个新变种,而无需更新。然而,深入的分析结果如下(需要记住的是,我们还在继续研究它。由于特征上的差别足够大,我们将这个新变种定义为 Conficker.E):

  • 利用 MS08-067
  • 包含通过网络共享传播的代码
  • 放出一个类似于之前的变种的驱动,使用 Conficker.B 相同的机制。
  • 在一个 1024-9999 之间的伪随机端口打开一个 Web 侦听器,随机数基于系统盘的分区序列号。
  • 在传播之前,似乎在它自身之后加上了一段随机生成的垃圾数据。(这会导致不可信的文件识别信息,识别信息就是上文中我用来告诉其他研究者正在谈论哪个特定变种的鉴别码;但是我们的团队可以绕过这个问题来工作)
  • 包含一些和 Conficker.D 相同的 IP 过滤机制。(不去攻击特定 IP 段)
  • 周期性地连接到以下 URL,以检查互联网连通性:

https://www.aol.com/
https://www.cnn.com/
https://www.ebay.com/
https://www.msn.com/
https://www.myspace.com/

  • 周期性地随机连接到下列站点中的某一个,以确定自己的外部IP地址:

https://checkip.dyndns.org
https://checkip.dyndns.com
https://www.myipaddress.com
https://www.findmyipaddress.com
https://www.ipaddressworld.com
https://www.findmyip.com
https://www.ipdragon.com
https://www.whatsmyipaddress.com

  • 在 2009 年 5 月 3 日及以后删除自己
  • 使用 SSDP 来查找互联网网关设备(比如路由器),然后在设备上发出一条 SOAP 命令,以打开一个外部的 TCP 端口并且把它重定向到一个内部的 IP : 端口。
  • 看起来没有P2P协议的代码。 *修正:释放出一个包含 P2P 功能的 DLL 模块

除了这些,还需要特别注意 .E 变种和先前的 A-D 变种之间的一个非常关键的区别。在一台已感染的机器上,.E 变种会和已有的 Conficker.D 同步执行。所以,举例来说,虽然没有代码检查更新,但这并不重要,因为这台机器已经在 Conficker.D 的控制下这么做了。对于上文提到的 P2P 协议和其他功能也是类似的。

要想了解到有关 Conficker 的最新发展情况,请查看 https://www.microsoft.com/conficker 。至于我们增加的有关 .E 的详细信息,你能从[https://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.E] 找到。如果有其他重要或突发的新闻,我们会在我们的 Blog 这里发布更多信息。

最后,新闻界充满了关于此病毒事件涉及什么人或什么事的猜测和见解。然而,目前有更多的谜题没被解开,在对这些想法发表评论之前,我们要收集更多的证据。

向 Aaron Putnam、Vincent Tiu 和 Cristian Craioveanu 表示感谢,他们正在不断解开一层层的谜题。

- Jimmy Kuo

另外,我忠心祝大家过个愉快的Good Friday。