16 三月, 2009 17:13
推文( 1 )
作者:趨勢科技 TrendLabs 技術通訊專員Jake Soriano
趨勢科技發現惡名昭彰的 DOWNAD 系列出現新變種:WORM_DOWNAD.KK。DOWNAD (亦稱為 Conficker) 是網頁威脅時代破壞性驚人的爆發性蠕蟲之一,數量不輸給 Storm 與 Kraken 等巨型 Bot 網路。
WORM_DOWNAD.KK 的行徑非常類似於 WORM_DOWNAD.A 和 WORM_DOWNAD.AD (上個月才出現更新功能)。這個新變種的出現,讓整個 DOWNAD 所造成的混亂更加嚴重。
根據趨勢科技全球病毒追蹤中心 (World Virus Tracking Center) 統計,前兩個 DOWNAD 蠕蟲截至這個月為止已經感染了上百萬台個人電腦,而這還只包括趨勢科技 HouseCall 與其他趨勢科技產品所偵測到的數量。資訊安全研究人員估計,全球感染的個人電腦數量約在 9 百萬左右。
WORM_DOWNAD.KK 新的特點之一,就是產生更多網域,從前一代變種的 250 個竄升至 50,000 個。雖然這個蠕蟲同一時間大約只會連線到 500 個隨機選取的網域,但這樣的改變顯然是希望增加 DOWNAD Bot 網路的存活率。
趨勢科技資安威脅高級研究員 Paul Ferguson 表示,要完全攔截這麼多的網域幾乎不可能,原因不僅在於每天產生的數量,還在於 DOWNAD 所產生的網域有很高的機率與合法持有人的網域重疊。
如同其他 DOWNAD 蠕蟲一樣,這個新變種也會防止使用者存取與防毒相關的網站,並且會停用資訊安全工具。
由於趨勢科技的 Smart Protection Network 主動式雲端截毒已經能夠攔截 WORM_DOWNAD.KK,並且防止該蠕蟲在系統上執行,因此趨勢科技的使用者已經受到保護。
原文來源: http://blog.trendmicro.com/new-downad-generates-more-urls/ - respond
@相關文章:避免遭 WORM_DOWNAD/Conficker 感染第一條:忌傻瓜密碼
擔心上網遇到電腦病毒?或是懷疑中毒電腦速度變慢嗎?免費下載防毒軟體iClean 解毒快手 或搶先體驗免費的主動是雲端截毒技術WTP dd on 免費攔截網頁惡意連結
@ 可防毒且可防個人資料外洩防護方案
-<瞭解更多> <試用版>
@之前的文章:
偵測發現新DOWNAD/ CONFICKER變化版
New DOWNAD/CONFICKER Variant Already Detected
作者:Macky Cruz(Technical Communications科技通訊)
一直以來,有人擔心新Conficker變化版(Trend Micro趨勢科技稱為DOWNAD)是否已被施放。回想在一月時,我們眼見網路罪犯把WORM_DOWNAD.A的例行程序更新為可以透過更多管道散播的WORM_DOWNAD.AD. 。報導(Reports)指出,新版的Conficker具備了更多更新的功能。
這個被偵測出是WORM_DOWNAD.AD的新變化版,帶來兩個路徑做二元化確認與執行。二者皆避開Internet Rendezvous points的使用,在早期的變化版中,Internet Rendezvous points是被操控者用來和被DOWNAD寄生的對象進行追蹤和酬載更新:
l 一個路徑netapi32.dll的副檔,檢查URL在RPC的流量。如果符合,URL上的檔案就會被下載,而如果檔案符合惡意軟體的目的,便會開始執行。
l 另外一個新的路徑則是由惡意軟體製造一個形同後門的管道,接收來自操控者的URL。惡意軟體從管道中讀取,如果沒有產生錯誤回報,便進行另一項功能去下載,確認,及執行檔案。
幸運的是對趨勢科技使用者來說,Smart Protection Network主動式雲端截毒技術自從Trend Micro趨勢科技偵測出此惡意軟體是WORM_DOWNAD.AD時便已為使用者進行防護。而被此惡意軟體感染的使用者,應閱讀並遵照解決方案(here)的指示。我們也提供了一個修理工具fixtool,給非Trend Micro趨勢科技的使用者使用。
以下是有關Conficker/DOWNAD的內容:
- The Mess That Is Worm Downad (DOWNAD破壞程式造成混亂)
- Security Policy for Dummies - how to avoid WORM_DOWNAD infection (傻瓜安全政策-如何避免感染WORM_DOWNAD)
- Security in Recession(衰退的安全)
- DOWNAD Gearing up for a Botnet (DOWNAD晉身殭屍網路)
