吳明宜
Conficker/Downadup 又有新變種了。在 4 月 1 日開始大鬧網路之後,新的變種,名為 Conficker.E 的蠕蟲現在準備透過垃圾郵件來竊取資訊。
賽門鐵克指出,Conficker.E 是由 Conficker.C,而非第一代.A 變種而來。
「新變種乃由.C 演化而來,在受到.C 版本感染的機器種入 Waledac 二進位碼,」賽門鐵克發言人在郵件中指出。
不過別的安全公司不認為新蠕蟲是由 Conficker 演變。越南安全研究公司 Bkis 指出,趨勢科技發現的這隻惡意程式和 Waledac 蠕蟲有關。但 Weafer 表示,所有誘捕系統 (honeypot) 捕獲的蠕蟲樣本不全相同。
Conficker/Downadup 最初是針對微軟去年十月間修補的 Windows 弱點進行攻擊。此後歷經多次演變,現在有多種攻擊方式,包括 USB 裝置、強迫破解密碼,它也可利用多種進階技巧來逃避偵測,並維護它下達指令的管道,包括虛擬亂數 (psudo-random) 演算來產生接受指令的網域。
目前受感染電腦已由一月時的 900 萬台下降到 100-200 萬台之間。根據 IBM ISS 安全代管服務資料顯示,受感染地以亞洲 (45%) 最高,其次為歐洲 (31%) 、南美 (13.6%) 及北美 (5.8%) 、中亞、非洲等地。
Conficker.E 重新使用 MS08-67 攻擊,也包含新的自我移除指令,可指示蠕蟲自 5 月 3 日起從受感染主機中移除。它也包含新的尋找指令的網站名單。
Weafer 表示,新蠕蟲是利用 P2P 連線進行更新。它會尋找.A 的變種,再以.C 版的「強化」功能更新之,包括改良的 HTTP 和 P2P 程式碼、更強大的防護機制和進階的反鑑識技術。
此外它還會加入部份 Waledac 垃圾郵件惡意程式。「Waledac 可從你的機器中竊取機密資訊並種下後門程式,」Weafer 說。由於 P2P 更新速度較其他方式慢,因此可能要好幾天後才會看到變種 Conficker 的影響。
有鑒於安全公司對 Conficker/Downadup 多給予重大威脅評等,美國國土安全部 (Department of Homeland Security, DHS) 也提供自行開發的偵測工具協助企業偵測。
此項工具是 DHS US-CERT 小組為美國聯邦及州政府、商業機構及重要基礎架構開發的蠕蟲掃描軟體,透過緊急回應及安全小組論壇網站公佈,或透過資訊共享及分析中心發給民間合作夥伴。