Nová verze červa: Conficker.E

Výzkumníci společností TrendMicro a WebSense objevili novou variantu červa Conficker, tzv. Conficker.E (WORM_DOWNAD.E).


 Největší aktivita tohoto malwaru byla zaznamenána v P2P sítích a centrum, odkud se šíří, se pravděpodobně nachází v Jižní Korei.

Conficker.E používá náhodně vygenerovaný název souboru a po spuštění se maskuje jako (rovněž náhodně zvolená) služba Windows. Šíří se v podobě binárního souboru a dokáže se dále nabízet pomocí P2P sítí. S jejich pomocí také hledá další infikované počítače a zde aktualizuje starší verze Confickeru.

Tato varianta červa se snaží o připojení k myspace.com, msn.com, ebay.com, cnn.com, a aol.com a rovněž k doménám, které jsou spojeny s botnetem Waledec. Také se pokouší šířit do dalších počítačů, a to tak, že se maskuje jako oprava Microsoftu MS08-067. Ironické je, že jde právě o záplatu, jejíž instalace před červem chrání. Červ má v této verzi také zabudovanou detekci, zda je v počítači příslušná aktualizace již přítomna.

Po datu 1. dubna je v kódu navíc přítomna další „časová instrukce“ - Conficker.E má nastaveno ukončení své činnosti na 3. května.

 

 











Komentáře