Global Sources
電子工程專輯
 
電子工程專輯 > 網路技術
 
 
網路技術  

恐怖Conficker蠕蟲悄悄變種 上網千萬小心

上網時間: 2009年04月16日     打印版  Bookmark and Share  字型大小:  

關鍵字:Conficker  蠕蟲  變種 

號稱史上最強、連微軟也無法解決的蠕蟲Conficker」,在讓多家防毒廠商疲於奔命一週後,並未於4月1日愚人節發作,正當大家以為虛驚一場,只是駭客開的愚人節玩笑時,它卻在此時悄悄變種,伺機發動攻擊。

4月8號賽門鐵克(Symantec)安全應變中心在誘補系統中發現新的變種樣本Downadup.E。新的變種透過P2P (peer-to-peer)的方式與已遭Downadup.C入侵的電腦通訊,嘗試更新Downadup.C,並下載W32.Waledac (Waledac是目前最活躍的垃圾郵件Bot傀儡程式)。

賽門鐵克表示,Waledac會竊取受害者機密資訊,將被入侵電腦轉為垃圾郵件殭屍電腦,建立系統後門以便遠端遙控。另外,在這個新樣本中,該變種出現一種前所未見的「自我移除」功能,設定於5月3日自動將本身自受感染的主機上移除。

同時賽門鐵克也接獲報告指出,在一些誘捕系統中,一隻叫做Spyware Protect 2009的誤導型應用程式(Misleading Application)也被下載到電腦上。

這些誤導型應用程式提供虛假的或誇大的用戶系統安全威脅報告,欺騙使用者使其誤以為系統已受感染,藉以說服用戶花錢購買軟體,或升級到據稱能夠「消除威脅」的偽裝安全軟體版本。兩者之間的關聯尚未被證實,然而誤導應用程式確實是之前分析Conficker攻擊的動機之一。

賽門鐵克建議民眾保持下載並安裝Windows系統最新的安全更新程式,並更新至最新的病毒定義檔。同時在瀏覽可疑網站、電子郵件及其附件時提高警覺。此外由於Downadup.E會連接到某些網站取得相關網路IP位址,以檢查是否有更新的相關病毒程式,因此建議使用者封鎖下列網址:

* http://checkip.dyndns.com

* http://checkip.dyndns.org

* http://www.findmyip.com

* http://www.findmyipaddress.com

* http://www.ipaddressworld.com

* http://www.ipdragon.com

* http://www.myipaddress.com

* http://www.whatsmyipaddress.com

另一家網路安全方案供應商Cellopoint的全球反垃圾郵件中心,也從相關的垃圾郵件趨勢監控到Conficker的變種活動,指出該Conficker.e (又名Trojan-Downloader.Win32.Kido )會偽裝成防毒軟體的樣子,在受感染的電腦上以P2P的方式連結到其他僵屍電腦(Zombie),形成一個龐大的僵屍網路(botnet)。

此外該病毒還會利用隨機的檔案名稱或服務名稱連結到惡名昭彰的Waledac垃圾郵件網域,下載另一個惡意檔案Email-Worm.Win32.Iksmas.atz,藉此當成垃圾郵件的跳板,這攻擊推測極有可能為同一批駭客所為,或是Conficker販賣資源給Waledac以擴大垃圾郵件的發送業務。

綜合整理Conficker新變種的特性如下:

˙與 W32.Waldac之間可能的連結──電腦被入侵後,兩個很類似的檔案名稱分別為484528750.exe 以及484471375.exe,會在一分鐘前後分別出現在\Windows\temp資料夾中。這兩個檔案是W32.Waledac 以及 W32.Downadup 的變種。

間接的證據指出兩者的關連正是由W32.Downadup散佈 W32.Waledac。W32.Waledac可竊取機密資訊,並將受感染的電腦轉為垃圾郵件殭屍,同時在電腦上建立一個後門(back door)供駭客遠端遙控。賽門鐵克的防毒軟體及IPS防護皆可提供對Waledac的防護。

˙自我移除功能──在這個新樣本中,該變種出現了一種前所未見的「自殺」功能,會於5月3日自動將本身自主機上移除。Conficker之前曾經依照日期下載二位元檔案或指令,然而自我移除的功能卻是首次出現。

˙再度以 MS08-067 漏洞為媒介──原先 W32.Downadup(.B) 的變種包含了一些程式碼,利用NETAPI的 Microsoft Server Service RPC漏洞 (MS08-067)。 有趣的是,這個程式碼的部分在 .C 的變種中被移除了,但是在最新的樣本中,又再度被包含在裡面。

˙建立HTTP伺服器──開啟5114埠口作為HTTP伺服器,可能是作為惡意程式的下載管道。

˙更新IP位址檢查的主機名單──新版本的Conficker中,用以調查受侵害電腦IP位址的連結名單有些許調整。





投票數:   加入我的最愛
我來評論 - 恐怖Conficker蠕蟲悄悄變種 上網千萬...
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首