McAfee提醒：Conficker蠕虫等待时机爆发

McAfee 安防实验室的Kevin Beets 近日提醒大家——Conficker 蠕虫正在等待时机爆发。以下是他的文章的部分翻译。

　　4月1日，Conficker 病毒并没有像传言那样发作，似乎表面一切正常。当然，事情没有这么简单。在最近的一次爆发中，仍将有大量的信息身处险境。 下面，我试着对Conficker 病毒的新功能加以总结。4月7日/8日期间，Conficker 再次有所动作。发作之后，Conficker 利用点对点 (P2P) 信道进行自动通报，而非通过 HTTP rendez-vous 启动最新的恶意攻击。这种情况下，感染病毒的主机将首先由另一主机通过对等 P2P 连接进行通讯。这有些类似于闹钟。然后，在几个小时的时间里，一旦“唤醒”病毒，通讯将会再次启动 ，这一次则是由感染病毒的主机发出。

　　可以肯定的是，Conficker 的更新并非“一气呵成”。当该流量(aka 更新)渐渐消失或至少大部分都无法监控到，则表示其通过分段及不对称 UDP 通讯完成了通讯。

　　那么接下来会发生什么呢?该 P2P 通讯流结束后，一般会指示主机进入某个域并下载文件。这时该 TCP“登场了”。感染病毒的主机会访问某个地址，并下载一份加密的可执行文件。一旦执行该文件，它将包含诸如不断变种的FakeAlert 甚至 Waledac 这类恶意软件。所以最终，我们可能会看到类似于以下截图的情景：

　　

　　

　　我们还可以看到，有些主机已被植入了 Waledac payload。(事实上，它可能包含不法之徒在这些域上植入的任何内容。)

　　这些下载的内容分别被检测为 FakeAlert-SpywareProtect 和 Waledac.gen.b。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点