完全解析：Win32/Conficker.D蠕虫病毒

network

完全解析：Win32/Conficker.D蠕虫病毒

　　近日反病毒领域最热的话题莫过于Conficker蠕虫及其变种，虽然4月1日爆发的预言并没有产生恐怖的影响，然而Conficker蠕虫的威胁依然不容小视，本文将全面介绍Conficker蠕虫及其最新变种以及其传播原理。

　　【IT专家网独家】这几个月内，微软已经受到四个关于Conficker蠕虫病毒变种的报告，其中最新的变种是Worm:Win32/Conficker.D (也被称为 Downadup.C，在很多新闻文章中称其为Conficker.C，关于区分变体的问题可以参考conficker图表，链接为http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker)。为对付这些不同的Conficker 变种 (A/B/C)，行业内专门成立了社区合作形式的组织以共同抵御Conficker 蠕虫病毒所带来的威胁，即Conficker 专门研究组(Working Group，WG)。
　　研究组(WG)采取的措施之一就是防止已感染Conficker的机器从网站下载附件形式的恶意软件。具体是通过每天阻止将近500个域名通信来实现的(Conficker.A和Conficker.B/C分别需要阻止250个域名)，由于这些conficker变体可以监测并下载可执行的二进制文件，这样做将有助于控制受感染的机器继续扩大病毒范围。
　　Conficker.D于2009年3月4日正式成为Conficker蠕虫病毒系列的最新成员，该蠕虫病毒修改了自身的“phoning-home(封包回报)”机制，每天尝试从50000个域名中随机挑选500个域名以试图与恶意软件制造者通信，另外，该病毒还采用了点对点(P2P)机制，使它能够从其他已经感染Conficker.D计算机中分配和接收命令。这种“phoning-home(封包回报)”机制将从4月1日开始执行。

　　从上图中，我们可以看出命令机制和控制已经被Conficker.D感染的计算机主要分为两个步骤：
　　1. 每天从50000个生成的域名中登记一个域名，约有1% 的Conficker.D 感染计算机能够从恶意软件制造者接收指令。
　　2. 利用P2P 的机制，这些被感染的机器能够向其他被Conficker.D 感染机器分配原始指令。
　　P2P 的机制为 Conficker.D蠕虫病毒开辟了新渠道，能够更方便地从病毒制造者处接受和分配恶意代码。这些代码非常复杂，也逐渐开始不再依赖于域名来进行通信，可能是由于行业联合打击conficker病毒，而使该恶意软件制造者不得不作出改变。
　　以下的时间轴显示了关于Conficker 蠕虫病毒发展的大事件：

　　2008年11月21日 — Worm:Win32/Conficker.A 被发现，主要特征包括：
　　·利用MS08-067 漏洞
　　·对 DNS 挂接，防止感染机器连接到安全站点
　　·每天连接到伪随机产生的 250 个域名试图与蠕虫制造者通信
　　·采用1024 位RSA 数字证书的MD5
　　2008年12月29日— Worm:Win32/Conficker.B 被发现(距离Conficker.A发现时间仅为38 天，它与Conficker.A的差别在于：
　　·通过 TCP/445 的网络传播病毒感染。
　　·可移动磁盘传播(U盘)。
　　·每天连接到伪随机生成另外250 个主机域名。
　　·利用4096 位RSA 的数字认证的MD5
　　2009年1月13日 — MSRT支持移除Worm:Win32/Conficker.A and B 变种
　　2009年2月12日 — 微软与行业阻止合作来共同抵御Conficker蠕虫
　　2009年2月20日 — Worm:Win32/Conficker.C 被发现 (距离 Conficker.B的发现时间为53 天)。Conficker.C 变种与Conficker.B的不同之处在于：
　　·利用 MS08-067 漏洞的点对点通信
　　抵御Conficker 蠕虫病毒的行业组织联盟形成后仅仅 8 天，就出现了新变种，该变种利用伪随机生成主机名与恶意软件制造者通信并且接收命令，此外该变种还用了新通信方式。Worm：Win32/Conficker.C 能够从其他感染 Conficker的机器上识别MS08 - 067漏洞利用意图，并通过URL 下载链接上接收命令。这个变种标志着 Conficker 开始从基于命令与控制的通信方式转向P2P (点对点)的机制。
　　2009年3月4日 — Worm:Win32/Conficker.D 被发现(距离Conficker.B发现日期为65 天)，其特征包括：
　　·从2009年4月1日起每天从随机产生的 50000 个中随机选取 500 个主机名连接
　　·与其他感染 Conficker.D 的机器进行点对点通信
　　2009年4月1日 — Conficker.D的“phoning-home(封包回报)”机制启用
　　那么在2009年4月1日后会发生什么情况呢?鉴于目前感染Conficker.D的机器数量相对比较少，预计短期内将不太可能发生重大事故，但是，对于任何可能发生的攻击事故我们都应该提高警惕。为了能够得到保护，请大家确保您的系统更新了MS08–067 和安全软件签名，并且清理任何已被确定被Conficker 感染的系统