Перевод SecurityLab.ru
За прошедшие несколько дней были осуществлены некоторые изменения на арене Conficker. Мы бы хотели сообщить всем, кому это интересно, что MMPC работает над тем, чтобы во первых, у вас были все данные, которые необходимы для защиты от любой угрозы, во вторых чтобы вы хорошо понимали саму угрозу.
Нам стало известно о двух новых бинарных файлах. Мы бы хотели сообщить, что продукты Microsoft, такие как Windows Live OneCare, Windows Live OneCare и семейство Forefront смогли определить оба новых файла по существующим сигнатурам. Обновления для Worm:Win32/Conficker.gen!B и Worm:Win32/Conficker.gen!A не требуются. Определенные словари были добавлены для новых вариантов Worm:Win32/Conficker.D и Worm:Win32/Conficker.E.
Первый экземпляр (MD5: EB0787C5B388C685B406ED46AE077536/SHA1:4887AB470FF4E49BB5F7D01331F3DF16B2BB507B) содержал минимальные изменения к существующему варианту .D. Существующие сигнатуры определили его как Worm:Win32/Conficker.gen!B. Отличия между этими версиями состоят в следующем:
Дополнения к списку приложений, которые не могут быть запущены на зараженной системе. Это относится к программам, содержащим строки:
- bd_rem
- cfremo
- kill
- stinger
Также блокируются домены содержащие строки:
- activescan
- adware
- av-sc
- bdtools
- mitre.
- ms-mvp
- precisesecurity
Стоит отметить, что некоторые утилиты безопасности и сайты, которые были замечены до 1 апреля, более недоступны пользователям, зараженным новой версией червя.
Повторим еще раз, что обновления не требуются для пользователей, которые используют утилиты Microsoft.
Второй обнаруженный файл, о котором пишут многие СМИ, известен как вариант .E (MD5: 677daa8bf951ecce8eae7d7ee0301780/SHA1: 879e553b472242f3ec5a7f9698bb44cad472ff3b). Сейчас этот вариант исследуется в нашей malware research lab. Существующие сигнатуры определили его как Worm:Win32/Conficker.gen!A.
С первого взгляда, этот вариант похож на вариант .A. И к счастью, продукты Microsoft смогли определить его без каких-либо исправлений. Более глубокий анализ показал следующие результаты (напоминаем, мы все еще исследуем его, но техотличий, которые были обнаружены, стало достаточно, чтобы назвать этот новый вариант Conficker.E):
- Эксплуатирует уязвимость MS08-067
- Содержит код для распространения через сетевые папки
- Помещает драйвер, как и в предыдущих версиях, используя механизм Conficker.B.
- Открывает процесс для прослушивания web на псевдо случайном порту от 1024 до 9999, основанном на серийном номере тома системного диска.
- Отправляет себе поток случайно сгенерированных данных перед началом работы.
- Содержит фильтрацию по IP, используемую в Conficker.D.
- Периодически подключается к следующим адресам для проверки подключения к Интернет:
- Периодически подключается к следующим сайтам для определения своего внешнего IP адреса:
- Удаляет себя 3 мая 2009 года и после этой даты
- Использует SSDP для обнаружения интернет шлюзов (маршрутизаторов) и отправляем устройству SOAP команду для открытия внешнего TCP порта и перенаправления трафика на внутренний IP:порт.
- Размещает на системе .dll с p2p функционалом.
Помимо вех отличий, важно упомянуть о ключевой разнице между вариантом .E и предыдущими вариантами A-D. Вариант .E выполняется одновременно с существующим Conficker.D на инфицированной машине. Например, отсутствие кода для проверки ссылок для обновлений не является важной задачей, т.к. это выполняет Conficker.D.
Следить за развитием Conficker можно по адресу . После того, как мы опубликуем подробности по варианту .E, они будут доступны по адресу . Если будут какие-либо важные данные относительно червя, мы их опубликуем в своем блоге.
СМИ наполнены предположениями и теориями, кто и что связанно с этой активностью. Существует много уровней, которые остаются нераскрытыми. Мы бы хотели собрать все доказательства перед тем, как комментировать эти теории.
