我們還可以看到,有些主機(jī)已被植入了 Waledac payload。(事實(shí)上,它可能包含不法之徒在這些域上植入的任何內(nèi)容。)

這些下載的內(nèi)容分別被檢測(cè)為 FakeAlert-SpywareProtect 和 Waledac.gen.b。

同時(shí)作為 payload 程序的一部分下載下來(lái)的,是我們熟悉的類似于 MS08-067 的"熱"補(bǔ)丁。而這一次,它更接近于原始補(bǔ)丁 – 因?yàn)檫@樣可以躲過(guò)檢測(cè)。(請(qǐng)注意:我們的 McAfee Conficker Detection 工具正在重新設(shè)計(jì)中,旨在支持對(duì)最新變種的檢測(cè)。)

還有兩條值得注意的事情。第一條就是要關(guān)注新的截止日。5 月 3 日,該最新變種就將過(guò)期。細(xì)想一下,這一點(diǎn)會(huì)讓我們聯(lián)想到很多有趣的問(wèn)題。比如說(shuō),這是否只是偶然散播 Waledac 的 Conficker 開(kāi)發(fā)團(tuán)隊(duì)的一次小試驗(yàn)?亦或只是出于其他的個(gè)人原因(比如轉(zhuǎn)移注意力)采取該措施?或許這只是租用的 botnet 的截止日期?我想大多數(shù)安全機(jī)構(gòu)一定都在思考這些有趣的問(wèn)題。

第二條是,當(dāng)感染病毒的主機(jī)解析 HTTP rendez-vous 域名時(shí),它會(huì)將解析的 IP 與已查詢過(guò)的 IP 列表進(jìn)行對(duì)比,如果新 IP 存在于列表中,那么它將繼續(xù)對(duì)比列表中的下一個(gè)域。

當(dāng)然,如有其他事情發(fā)生,我們將會(huì)及時(shí)通報(bào)。

分享到

yajing

相關(guān)推薦