Vi hade alla blivit varnade: 1 april var den dag då den ökända DOWNAD /Conficker masken var tänkt för att aktivera och göra dess usla gärningar, vad de än må vara. Dagen kom och gick utan ett kvidande av Conficker-initierad förstörelse, men det hindrade inte otaliga medier från att rapportera om den (HotHardware ingår). Conficker gjorde generera 50.000 domännamn och började kontakta domänerna - som förväntat - men ingen skada gjordes till infekterade system, åtminstone när det gäller forskare kunde berätta. Annat än att, Conficker stannade relativt lugn ...
Det vill säga, tills i tisdags kväll ... Omdömen
Cyber-sleuths över på Trend Micro har noga följt en Conficker-infekterade systemet, konstaterar att allt hade gjort var "kontinuerlig kontroll av datum och klockslag via Internetsidor, kontroll av uppdateringar via HTTP, och de ökande P2P kommunikation från Conficker inbördes noder." Men sedan vid 07:42:21 PDT den 7 april, en ny fil (119,296 bytes) dök upp i systemet Windows /Temp-mappen.
Filen anlände till systemet via en Omdömen
Credit "krypterat TCP svar (134,880 bytes) från en känd Conficker P2P IP-nod (kontrolleras av andra oberoende källor), som var värd någonstans i Korea." Trend Micro Mere sekunder (7:41:23 PDT) efter filen laddades ned, försökte systemet för att komma åt en domän som är känd för att vara värd för Waledac masken: "Domänen löser närvarande till en IP som är värd en känd Waledac knep i HTML för att ladda ner print.exe, som har verifierats att vara en ny Waledac binär.
" Detta hade forskarna klia sina huvuden lite, att försöka lista ut vad sambandet mellan Conficker och Waledac kan vara. Omdömen
Efter att ha analyserat den första filen som laddas ned på deras system, forskarna har därefter identifierat det som ett nytt variant av Conficker masken, som de nu kallar WORM_DOWNAD.E. Några av de fakta de upptäckte om denna nya variant är:
1. (Un) Trigger Date - 3 maj, 2009, kommer det att sluta running2. Körs i slumpmässig filnamn och slumpmässiga tjänster NAME3. Stryks denna tappade komponent afterwards4.
Fortplantas via MS08-067 till externa IP-adresser om Internet är tillgängligt, om inga anslutningar, använder lokala IPs5. Öppnar port 5114 och tjänar som HTTP-server, genom att sända via SSDP request6. Ansluts till följande platser: Myspace.com msn.com ebay.com cnn.com aol.com Omdömen
Ett av de sätt som Conficker är känd för att sprida är via en känd sårbarhet (MS08-067) i Windows 2000 , Windows XP och Wi