Nous avions tous été prévenus 1 Avril était le jour que le DOWNAD infâme /Conficker était censé activer et de faire ses actes ignobles, quels qu'ils soient. Le jour est venu et est allé sans un gémissement de destruction Conficker-initiés, même si cela n'a pas empêché de nombreux médias de rendre compte de ce (HotHardware inclus). Conficker fait générer 50.000 noms de domaine et a commencé à contacter les domaines - comme prévu -, mais aucun dommage n'a été fait pour les systèmes infectés, au moins autant que les chercheurs pourraient dire.
Autre que cela, Conficker est resté relativement calme ... qui est, jusqu'à ce que cette dernière mardi soir ...
Les cyber-détectives à plus de Trend Micro ont été surveillent de près un système infecté par Conficker, notant que tout ce qu'il avait fait était «le contrôle continu des dates et heures via des sites Internet, la vérification des mises à jour via HTTP, et les communications P2P croissantes des nœuds pairs Conficker." Mais alors à 07:42:21 PDT le 7 Avril, un nouveau fichier (119,296 octets) est présenté dans le dossier Windows /Temp du système.
Le fichier est arrivé sur le système via un
Crédit "réponse TCP cryptée (134,880 octets) d'un noeud connu Conficker P2P IP (vérifié par d'autres sources indépendantes), qui a été accueilli quelque part en Corée.": Trend Micro Mere secondes (07:41:23 PDT) après que le fichier a été téléchargé, le système a tenté d'accéder à un domaine qui est connu pour accueillir le ver Waledac: "Le domaine résout actuellement une adresse IP qui héberge un stratagème Waledac connu en HTML pour télécharger PRINT.EXE, qui a été vérifié pour être un nouveau binaire Waledac.
" Cela a eu les chercheurs se gratter la tête un peu, essayer de comprendre ce que la connexion entre Conficker et Waledac pourrait être.
Après avoir analysé ce premier fichier téléchargé sur leur système, les chercheurs ont par la suite identifié comme un nouveau variante du ver Conficker, qu'ils appellent maintenant WORM_DOWNAD.E. Certains des faits qu'ils ont découverts à propos de cette nouvelle variante sont:
1. (Un) Date du déclencheur - 3 mai 2009, il arrêtera running2. Fonctionne en nom de fichier aléatoire et aléatoire nom3 de service.
Supprime cette chuté afterwards4 composant. Propage via MS08-067 à adresses IP externes si Internet est disponible, si aucune connexion, utilise IPS5 locale. Ouvre le port 5114 et servir de serveur HTTP, par la diffusion par SSDP reques