Vi hadde alle blitt advart: 1 april var dagen som den beryktede downad /Conficker-ormen skulle aktivere og gjøre sine feige handlinger, uansett hva de måtte være. Dagen kom og gikk uten et klynk av Conficker-initiert ødeleggelse, men det stoppet ikke utallige medier fra å rapportere på det (HotHardware inkludert). Conficker gjorde generere 50.000 domenenavn og begynte å kontakte domener - som spådd - men ingen skade ble gjort til infiserte systemer, minst like langt som forskere kan fortelle. Annet enn det, Conficker bodde relativt rolig ...
Det vil si, helt til denne siste tirsdag kveld ...
Cyber-sleuths over på Trend Micro har vært tett overvåking en Conficker-infiserte systemet, og bemerker at alt det hadde gjort var "kontinuerlig kontroll av datoer og klokkeslett via internettsider, kontroll av oppdateringer via HTTP, og den økende P2P kommunikasjon mot Conficker peer noder." Men så på 07:42:21 PDT den 7. april, en ny fil (119,296 bytes) dukket opp i systemet Windows /Temp-mappen.
Filen kom på systemet via en
Credit "kryptert TCP respons (134,880 bytes) fra en kjent Conficker P2P IP node (verifisert av andre uavhengige kilder), som ble arrangert et sted i Korea.": Trend Micro Mere sekunder (07:41:23 PDT) etter at filen ble lastet ned, forsøkt systemet for å få tilgang til et domene som er kjent for å være vertskap for Waledac orm: "Domenet løser i dag til en IP som er vert for en kjent Waledac knep i HTML for å laste ned print.exe, som har blitt bekreftet å være en ny Waledac binær ".
Dette hadde forskerne klør seg i hodet litt, prøver å finne ut hva sammenhengen mellom Conficker og Waledac kan være.
Etter å ha analysert den første filen som er lastet ned på deres system, forskerne har senere identifisert det som en ny variant av Conficker-ormen, som de nå kaller WORM_DOWNAD.E. Noen av de fakta de oppdaget om denne nye varianten er:
1. (Un) Trigger dato - 3 mai 2009, vil det stoppe running2. Kjører i tilfeldig filnavn og tilfeldig tjeneste NAME3. Sletter dette droppet komponent afterwards4.
Forplanter seg via MS08-067 til eksterne IP-adresser hvis Internett er tilgjengelig, hvis ingen tilkoblinger, bruker lokale IPs5. Åpner port 5114 og tjene som HTTP-server, ved kringkasting via SSDP request6. Kobler til følgende områder: Myspace.com msn.com ebay.com cnn.com aol.com
En av måtene som Conficker er kjent for å spre er via en kjent sårbarhet (MS08-067) i Windows 2000 , Windows XP og Windows Server 2003 er