Created: 2009-06-09 17:48:48
如果你來到我的網誌搜尋Conficker和「混合惡作劇」的資料,我想你應該由昨晚的文章開始閱讀,因為我不想誤導人,而且你會得到更多分析過的Conficker資料。
我們在斯洛伐克的同事在這裡發佈了數據,而在這裡,你可以得到更詳細的描述。
最有趣的和令人吃驚的地方是,現在一天可以控制多達50,000個網域的Conficker,它的新變種不會控制任何網域。我們命名新變種為Win32/Conficker.AQ,它只能在自己的點對點網絡溝通。
看來Conficker想撇掉我們的跟蹤,因為我們引起媒體的關注,並仔細分地析了安全防護工業,這使他們難以照著原意執行病毒。
新變種由兩個主要部分組成。伺服器元件會感染網絡中具有同樣漏洞的電腦(MS08-067中所描述的漏洞,你更新了沒有?),替它們安裝客戶端元件,成為Conficker殭屍網絡的一部分。然而,伺服器元件會在5月3日後自動移除,但客戶端元件將繼續運行。
Conficker的殭屍網絡大於大多數的,但它看來仍有成長的空間。我仍然不認為它會造成「巨大傷害」,因為這不太符合成本效益。
他們在做什麼?我想應該是調整,以彌補Conficker被透徹的分析,並使我們更難地預測它們的動作。
我們會提供更多更快的訊息。
David Harley BA CISSP FBCS CITP
Director of Malware Intelligence