Created: 2009-06-09 17:47:31
我們可以再談論一些Win32/Conficker.AQ的技術細節(由我們歐洲的同事Juraj Malcho所提供,如果有任何錯誤解釋,一定是我理解錯誤! )
新變種由兩個主要部分組成。服務器元件是一個exe檔案,用來感染網絡中具有相同漏洞的電腦(微軟安全建議MS08–067中所描述的漏洞,Conficker由開始至今都使用它。) 它將安裝一個dll客戶端元件(動態連結-包含可執行代碼),使電腦成為Conficker殭屍網絡的一部分。
還有一個保留在「伺服器」的驅動程式(電腦會嘗試探索和攻擊其他電腦) :該驅動程式是用來讓最多的電腦連接到伺服器下。感染的機制一如以往的變種、沒有改變:shellcode從HTTP下載由伺服器所提供的.dll檔案。該蠕蟲會在HTTP伺服器上啟動一個隨機端口。它將通過TCP/139和TCP/445連接到遠程電腦,嘗試攻擊伺服器漏洞。然而,伺服器元件會在5月3日後自動移除,但客戶端元件將繼續運行。停止服務時,會使用到MoveFileEx的MOVEFILE_DELAY_UNTIL_REBOOT作為標記,並在下次重新啟動時移除該程式。
.dll檔案中,包含一個新版本的相似可執行檔案,它會重建一個修改了的UPX封包。這似乎已在4月7日時使用過,他們看來想藉規則的改變來混淆我們。分析仍不停進行中,但一個特別有趣的特點,就是這個版本不會在一天內與50 0,000個網域連繫,我們都感到非常驚訝。我們命名新變種為Win32/Conficker.AQ,它只能在自己的點對點網絡溝通。您可以在這裡找到更詳盡的說明和它對系統及網域的影響。
奇怪地,autorun感染機制的使用率正在下降,但它可能仍然潛伏在陰暗的角落等待:我們會繼續確認和分析。我們的清除工具應該對新變種有效,但我們仍會進行測試和確認。
這或許能總括出Conficker的真實情況:偵測上並沒有出現太多的困難,能夠使用啟發式偵測,所有被偵測出來的元件一般命名為Win32/Conficker.AQ,被猜測成所有殭屍網絡的源頭。正是出於這個原因,我認為整個事情是一個很大的玩笑。(這是我的認真分析,並不是一些不切實際性幻想。不過,我會進一步證明我的想法,且未必一定提及Conficker。)
顯然,我並沒有欺騙使用者,正如我先前所想,報告中提及的Win32/Waledac、垃圾郵件傳播和虛假的惡意程式防護軟件,都表明Conficker可能正在建立一個殭屍網絡。但我們的報告,並沒有直接顯示Waledac、Conficker和風暴殭屍網絡之間有什麼關係。雖然有人認為它們都是來自同一伙人的惡作劇,但無論任何原因,我們都得努力下去。
David Harley BA CISSP FBCS CITP
Director of Malware Intelligence