我們還可以看到,有些主機(jī)已被植入了 Waledac payload�。(事實(shí)上,它可能包含不法之徒在這些域上植入的任何內(nèi)容。)
這些下載的內(nèi)容分別被檢測(cè)為 FakeAlert-SpywareProtect 和 Waledac.gen.b���。
同時(shí)作為 payload 程序的一部分下載下來(lái)的���,是我們熟悉的類似于 MS08-067 的"熱"補(bǔ)丁。而這一次�,它更接近于原始補(bǔ)丁 – 因?yàn)檫@樣可以躲過(guò)檢測(cè)。(請(qǐng)注意:我們的 McAfee Conficker Detection 工具正在重新設(shè)計(jì)中�����,旨在支持對(duì)最新變種的檢測(cè)���。)
還有兩條值得注意的事情��。第一條就是要關(guān)注新的截止日�����。5 月 3 日�,該最新變種就將過(guò)期�����。細(xì)想一下,這一點(diǎn)會(huì)讓我們聯(lián)想到很多有趣的問(wèn)題�。比如說(shuō),這是否只是偶然散播 Waledac 的 Conficker 開(kāi)發(fā)團(tuán)隊(duì)的一次小試驗(yàn)��?亦或只是出于其他的個(gè)人原因(比如轉(zhuǎn)移注意力)采取該措施���?或許這只是租用的 botnet 的截止日期���?我想大多數(shù)安全機(jī)構(gòu)一定都在思考這些有趣的問(wèn)題。
第二條是�,當(dāng)感染病毒的主機(jī)解析 HTTP rendez-vous 域名時(shí),它會(huì)將解析的 IP 與已查詢過(guò)的 IP 列表進(jìn)行對(duì)比����,如果新 IP 存在于列表中,那么它將繼續(xù)對(duì)比列表中的下一個(gè)域��。
當(dāng)然�,如有其他事情發(fā)生,我們將會(huì)及時(shí)通報(bào)���。
