博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3126|回复: 0

完全解析:Win32/Conficker.D蠕虫病毒

[复制链接]
发表于 2009-12-16 16:10:23 | 显示全部楼层 |阅读模式
完全解析:Win32/Conficker.D蠕虫病毒

  近日反病毒领域最热的话题莫过于Conficker蠕虫及其变种,虽然4月1日爆发的预言并没有产生恐怖的影响,然而Conficker蠕虫的威胁依然不容小视,本文将全面介绍Conficker蠕虫及其最新变种以及其传播原理。

  【IT专家网独家】这几个月内,微软已经受到四个关于Conficker蠕虫病毒变种的报告,其中最新的变种是Worm:Win32/Conficker.D (也被称为 Downadup.C,在很多新闻文章中称其为Conficker.C,关于区分变体的问题可以参考conficker图表,链接为http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker)。为对付这些不同的Conficker 变种 (A/B/C),行业内专门成立了社区合作形式的组织以共同抵御Conficker 蠕虫病毒所带来的威胁,即Conficker 专门研究组(Working Group,WG)。
  研究组(WG)采取的措施之一就是防止已感染Conficker的机器从网站下载附件形式的恶意软件。具体是通过每天阻止将近500个名通信来实现的(Conficker.A和Conficker.B/C分别需要阻止250个域名),由于这些conficker变体可以监测并下载可执行的二进制文件,这样做将有助于控制受感染的机器继续扩大病毒范围。
  Conficker.D于2009年3月4日正式成为Conficker蠕虫病毒系列的最新成员,该蠕虫病毒修改了自身的“phoning-home(封包回报)”机制,每天尝试从50000个域名中随机挑选500个域名以试图与恶意软件制造者通信,另外,该病毒还采用了点对点(P2P)机制,使它能够从其他已经感染Conficker.D计算机中分配和接收命令。这种“phoning-home(封包回报)”机制将从4月1日开始执行。
  从上图中,我们可以看出命令机制和控制已经被Conficker.D感染的计算机主要分为两个步骤:
  1. 每天从50000个生成的域名中登记一个域名,约有1% 的Conficker.D 感染计算机能够从恶意软件制造者接收指令。
  2. 利用P2P 的机制,这些被感染的机器能够向其他被Conficker.D 感染机器分配原始指令。
  P2P 的机制为 Conficker.D蠕虫病毒开辟了新渠道,能够更方便地从病毒制造者处接受和分配恶意代码。这些代码非常复杂,也逐渐开始不再依赖于域名来进行通信,可能是由于行业联合打击conficker病毒,而使该恶意软件制造者不得不作出改变。
  以下的时间轴显示了关于Conficker 蠕虫病毒发展的大事件:
  2008年11月21日 — Worm:Win32/Conficker.A 被发现,主要特征包括:
  ·利用MS08-067 漏洞
  ·对 DNS 挂接,防止感染机器连接到安全站
  ·每天连接到伪随机产生的 250 个域名试图与蠕虫制造者通信
  ·采用1024 位RSA 数字证书的MD5
  2008年12月29日— Worm:Win32/Conficker.B 被发现(距离Conficker.A发现时间仅为38 天,它与Conficker.A的差别在于:
  ·通过 TCP/445 的网络传播病毒感染。
  ·可移动磁盘传播(U盘)。
  ·每天连接到伪随机生成另外250 个主机域名。
  ·利用4096 位RSA 的数字认证的MD5
  2009年1月13日 — MSRT支持移除Worm:Win32/Conficker.A and B 变种
  2009年2月12日 — 微软与行业阻止合作来共同抵御Conficker蠕虫
  2009年2月20日 — Worm:Win32/Conficker.C 被发现 (距离 Conficker.B的发现时间为53 天)。Conficker.C 变种与Conficker.B的不同之处在于:
  ·利用 MS08-067 漏洞的点对点通信
  抵御Conficker 蠕虫病毒的行业组织联盟形成后仅仅 8 天,就出现了新变种,该变种利用伪随机生成主机名与恶意软件制造者通信并且接收命令,此外该变种还用了新通信方式。Worm:Win32/Conficker.C 能够从其他感染 Conficker的机器上识别MS08 - 067漏洞利用意图,并通过URL 下载链接上接收命令。这个变种标志着 Conficker 开始从基于命令与控制的通信方式转向P2P (点对点)的机制。
  2009年3月4日 — Worm:Win32/Conficker.D 被发现(距离Conficker.B发现日期为65 天),其特征包括:
  ·从2009年4月1日起每天从随机产生的 50000 个中随机选取 500 个主机名连接
  ·与其他感染 Conficker.D 的机器进行点对点通信
  2009年4月1日 — Conficker.D的“phoning-home(封包回报)”机制启用
  那么在2009年4月1日后会发生什么情况呢?鉴于目前感染Conficker.D的机器数量相对比较少,预计短期内将不太可能发生重大事故,但是,对于任何可能发生的攻击事故我们都应该提高警惕。为了能够得到保护,请大家确保您的系统更新了MS08–067 和安全软件签名,并且清理任何已被确定被Conficker 感染的系统
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 22:50 , Processed in 0.087763 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表