Conficker蠕虫"蠢蠢欲动"(图)

作者：Kevin Beets (McAfee Avert Labs)

4 月 1 日，Conficker 病毒并没有像传言那样发作，似乎表面一切正常。

当然，事情没有这么简单。在最近的一次爆发中，仍将有大量的信息身处险境。下面，我试着对Conficker 病毒的新功能加以总结。

4 月 7 日/8 日期间，Conficker 再次有所动作。发作之后，Conficker 利用点对点 (P2P) 信道进行自动通报，而非通过 HTTP rendez-vous 启动最新的恶意攻击。这种情况下，感染病毒的主机将首先由另一主机通过对等 P2P 连接进行通讯。这有些类似于闹钟。然后，在几个小时的时间里，一旦“唤醒”病毒，通讯将会再次启动 ，这一次则是由感染病毒的主机发出。

可以肯定的是，Conficker 的更新并非“一气呵成”。当该流量（aka 更新）渐渐消失或至少大部分都无法监控到，则表示其通过分段及不对称 UDP 通讯完成了通讯。

那么接下来会发生什么呢？该 P2P 通讯流结束后，一般会指示主机进入某个域并下载文件。这时该 TCP“登场了”。感染病毒的主机会访问某个地址，并下载一份加密的可执行文件。一旦执行该文件，它将包含诸如不断变种的FakeAlert 甚至 Waledac 这类恶意软件。所以最终，我们可能会看到类似于以下截图的情景：

我们还可以看到，有些主机已被植入了 Waledac payload。（事实上，它可能包含不法之徒在这些域上植入的任何内容。）

这些下载的内容分别被检测为 FakeAlert-SpywareProtect 和 Waledac.gen.b。

同时作为 payload 程序的一部分下载下来的，是我们熟悉的类似于 MS08-067 的“热”补丁。而这一次，它更接近于原始补丁 — 因为这样可以躲过检测。（请注意：我们的 McAfee Conficker Detection 工具正在重新设计中，旨在支持对最新变种的检测。）

还有两条值得注意的事情。第一条就是要关注新的截止日。5 月 3 日，该最新变种就将过期。细想一下，这一点会让我们联想到很多有趣的问题。比如说，这是否只是偶然散播 Waledac 的 Conficker 开发团队的一次小试验？亦或只是出于其他的个人原因（比如转移注意力）采取该措施？或许这只是租用的 botnet 的截止日期？我想大多数安全机构一定都在思考这些有趣的问题。

第二条是，当感染病毒的主机解析 HTTP rendez-vous 域名时，它会将解析的 IP 与已查询过的 IP 列表进行对比，如果新 IP 存在于列表中，那么它将继续对比列表中的下一个域。

当然，如有其他事情发生，我们将会及时通报。