Новые данные по Win32/Conficker

Новые данные по Win32/Conficker
Jimmy Kuo, MMPC
Перевод SecurityLab.ru

За прошедшие несколько дней были осуществлены некоторые изменения на арене Conficker. Мы бы хотели сообщить всем, кому это интересно, что MMPC работает над тем, чтобы во первых, у вас были все данные, которые необходимы для защиты от любой угрозы, во вторых чтобы вы хорошо понимали саму угрозу.

Нам стало известно о двух новых бинарных файлах. Мы бы хотели сообщить, что продукты Microsoft, такие как Windows Live OneCare, Windows Live OneCare и семейство Forefront смогли определить оба новых файла по существующим сигнатурам. Обновления для Worm:Win32/Conficker.gen!B и Worm:Win32/Conficker.gen!A не требуются. Определенные словари были добавлены для новых вариантов Worm:Win32/Conficker.D и Worm:Win32/Conficker.E.

Первый экземпляр (MD5: EB0787C5B388C685B406ED46AE077536/SHA1:4887AB470FF4E49BB5F7D01331F3DF16B2BB507B) содержал минимальные изменения к существующему варианту .D. Существующие сигнатуры определили его как Worm:Win32/Conficker.gen!B. Отличия между этими версиями состоят в следующем:
Дополнения к списку приложений, которые не могут быть запущены на зараженной системе. Это относится к программам, содержащим строки:
  • bd_rem
  • cfremo
  • kill
  • stinger

Также блокируются домены содержащие строки:
  • activescan
  • adware
  • av-sc
  • bdtools
  • mitre.
  • ms-mvp
  • precisesecurity

Стоит отметить, что некоторые утилиты безопасности и сайты, которые были замечены до 1 апреля, более недоступны пользователям, зараженным новой версией червя.

Повторим еще раз, что обновления не требуются для пользователей, которые используют утилиты Microsoft.
Второй обнаруженный файл, о котором пишут многие СМИ, известен как вариант .E (MD5: 677daa8bf951ecce8eae7d7ee0301780/SHA1: 879e553b472242f3ec5a7f9698bb44cad472ff3b). Сейчас этот вариант исследуется в нашей malware research lab. Существующие сигнатуры определили его как Worm:Win32/Conficker.gen!A.

С первого взгляда, этот вариант похож на вариант .A. И к счастью, продукты Microsoft смогли определить его без каких-либо исправлений. Более глубокий анализ показал следующие результаты (напоминаем, мы все еще исследуем его, но техотличий, которые были обнаружены, стало достаточно, чтобы назвать этот новый вариант Conficker.E):
  • Эксплуатирует уязвимость MS08-067
  • Содержит код для распространения через сетевые папки
  • Помещает драйвер, как и в предыдущих версиях, используя механизм Conficker.B.
  • Открывает процесс для прослушивания web на псевдо случайном порту от 1024 до 9999, основанном на серийном номере тома системного диска.
  • Отправляет себе поток случайно сгенерированных данных перед началом работы.
  • Содержит фильтрацию по IP, используемую в Conficker.D.
  • Периодически подключается к следующим адресам для проверки подключения к Интернет:
    http://www.aol.com/
    http://www.cnn.com/
    http://www.ebay.com/
    http://www.msn.com/
    http://www.myspace.com/
  • Периодически подключается к следующим сайтам для определения своего внешнего IP адреса:
    http://checkip.dyndns.org
    http://checkip.dyndns.com
    http://www.myipaddress.com
    http://www.findmyipaddress.com
    http://www.ipaddressworld.com
    http://www.findmyip.com
    http://www.ipdragon.com
    http://www.whatsmyipaddress.com
  • Удаляет себя 3 мая 2009 года и после этой даты
  • Использует SSDP для обнаружения интернет шлюзов (маршрутизаторов) и отправляем устройству SOAP команду для открытия внешнего TCP порта и перенаправления трафика на внутренний IP:порт.
  • Размещает на системе .dll с p2p функционалом.

Помимо вех отличий, важно упомянуть о ключевой разнице между вариантом .E и предыдущими вариантами A-D. Вариант .E выполняется одновременно с существующим Conficker.D на инфицированной машине. Например, отсутствие кода для проверки ссылок для обновлений не является важной задачей, т.к. это выполняет Conficker.D.

Следить за развитием Conficker можно по адресу http://www.microsoft.com/conficker . После того, как мы опубликуем подробности по варианту .E, они будут доступны по адресу http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.E . Если будут какие-либо важные данные относительно червя, мы их опубликуем в своем блоге.

СМИ наполнены предположениями и теориями, кто и что связанно с этой активностью. Существует много уровней, которые остаются нераскрытыми. Мы бы хотели собрать все доказательства перед тем, как комментировать эти теории.
Security
Alt text
Комментарии для сайта Cackle

Валерий Марчук

Блог посвящен безопасности и жизни секлаба