我們還可以看到����,有些主機(jī)已被植入了 Waledac payload�����。(事實(shí)上����,它可能包含不法之徒在這些域上植入的任何內(nèi)容。)
這些下載的內(nèi)容分別被檢測(cè)為 FakeAlert-SpywareProtect 和 Waledac.gen.b�。
同時(shí)作為 payload 程序的一部分下載下來的,是我們熟悉的類似于 MS08-067 的"熱"補(bǔ)丁����。而這一次�,它更接近于原始補(bǔ)丁 – 因?yàn)檫@樣可以躲過檢測(cè)。(請(qǐng)注意:我們的 McAfee Conficker Detection 工具正在重新設(shè)計(jì)中���,旨在支持對(duì)最新變種的檢測(cè)��。)
還有兩條值得注意的事情�����。第一條就是要關(guān)注新的截止日����。5 月 3 日����,該最新變種就將過期。細(xì)想一下����,這一點(diǎn)會(huì)讓我們聯(lián)想到很多有趣的問題����。比如說����,這是否只是偶然散播 Waledac 的 Conficker 開發(fā)團(tuán)隊(duì)的一次小試驗(yàn)?亦或只是出于其他的個(gè)人原因(比如轉(zhuǎn)移注意力)采取該措施��?或許這只是租用的 botnet 的截止日期�����?我想大多數(shù)安全機(jī)構(gòu)一定都在思考這些有趣的問題�。
第二條是,當(dāng)感染病毒的主機(jī)解析 HTTP rendez-vous 域名時(shí)�,它會(huì)將解析的 IP 與已查詢過的 IP 列表進(jìn)行對(duì)比,如果新 IP 存在于列表中���,那么它將繼續(xù)對(duì)比列表中的下一個(gè)域�。
當(dāng)然����,如有其他事情發(fā)生�,我們將會(huì)及時(shí)通報(bào)�����。
