推文( 1 )
4月1日過後更多的DOWNAD/Conflicker疑問
全世界已安然渡過4月1日。DOANAD/Conficker的4月1日攻勢騙局在過去幾週搞得安全企業和Conficker工作團隊忙碌不休。4月1日或許平安渡過了,但當新的一天開始,新的後續疑問也陸續產生:
問:有發生任何事情嗎?
答:在DOWNAD/Conficker殭屍網路中並未發生任何重大發展或新消息。至少尚未發生。DOWNAD惡意軟體仍可能會在進行例行的檢查,或是在點對點交流時做網站的連結。不過這些程序早在4月1日前就已經發生了。在撰寫本篇之際,沒有新的二進位檔(binary),沒有新的惡意軟體網域,也沒有新的破壞現象。
網路安全專家趨勢科技的工程師觀察到部份DWNAD似乎正在改變其網路行為,但這顯然是計劃中的工作而非攻擊的企圖。這種行為突顯了安全研究人員的理論,他們認為這個殭屍網路的創造者立意甚堅,以緩慢但考量過的方式對整個殭屍網站架構進行改變。
問:Conficker工作團隊的努力成功了嗎?
答:是的。團隊在讓不同的安全研究人員,網路服務供應者,網域名稱註冊,及學界,執法單位和其它跨產業公司負責人員協力投入的工作上,成果無與倫比。
但這場戰爭尚未結束。DOWNAD網路是一個極有能力的平台。我們必須勤於監視這個殭屍網站。一個程式的改變就可能輕易地改變整個制衡的力量。
問:你們猜測DOWNAD作者在4月1日手法之後會有什麼動作?
答:證據顯示這個殭屍網路會從HTTP為主的架構,演進成使用複雜的點對點指令控制模式。後者雖然速度較慢,但比較不容易被追蹤,偵測,解碼或攔截。研究人員相信DOWNAD殭屍網路的操控者將會開始進行可以產生收益的活動。
安全程式設計師的分析顯示,點對點管道目前是使用在傳輸替代程式模組。
問:有報導指出有幾家高營收公司嚴重受到此次4月1日啟動的DOWNAD/Conficker影響。另外也有報導刊載DOWNAD/Conficker破壞程式作者的聲明。這些報導是正確的嗎?
答:兩者都不是真的。這些都只是愚人節的玩笑。以下網站可以閱讀更多的訊息:
問:我們是否不需再擔心4月1日手法?
答:4月1日是DOWNAD/Conficker殭屍網路演進史上的一個啟動日里程碑。為了確保我們不會在無警戒狀態下受攻擊,監視與調查的工作仍將繼續。網路使用者同樣地也需要時時警覺威脅,利用手上所有必要的解決方案來保護個人電腦。
Trend Micro趨勢科技的DOWANAD/Conficker平台網頁及解決方案可利用以下的聯結:http://us.trendmicro.com/us/threats/conficker-worm/ (英文)
http://www.trendmicro.com.tw/edm/Tracking.asp?id=959&name=20090413 (中文)
主要支援的入口則是在以下網頁:
http://esupport.trendmicro.com/
DOWNAD破壞程式中有一個主要的程式在於防止使用者接觸特定網站。受感染的系統可透過以下的步驟,進入受DOWNAD防堵的網域(通常是安全相關網站):
Microsoft微軟也提供步驟來使在客戶端的DNS貯存區失去功能,點此here進入。F-Secure的研究人員同時也公佈了Q&A,點此here.進入。
@延伸閱讀:
Downad.KK/Conficker.C P2P 連接埠產生程式碼曝光 淺談企業資訊安全策略的應用-WORM_DOWNADhttp://tw.trendmicro.com/tw/support/tech-support/board/tech/article/20090311030528.html
