Краткое описание нового поведения вируса было опубликовано здесь несколькими днями ранее.
В конце среды компанией TrendMicro была замечена новая модификация червя Conficker.c, названная WORM_DOWNAD.E. Предыдущая версия червя использует p2p функционал для загрузки обновления, которое показывает множество окон с оповещениями о несуществующих угрозах, а также надоедливые всплывающие окна, пока вы не согласитесь заплатить $49.95. Таким образом разработчики вируса, наконец, открыли свою цель: нажива.
Специалист Trend Micro по исследованию угроз Пол Фергюсон (Paul Ferguson) опубликовал список изменений внесенных обновлением, содержащий несколько интересных фактов.
Во-первых, Conficker прекратит свою работу 3 мая 2009 года. При установке вирус использует случайное имя файла и имя службы. После установки вирус удаляет свою предыдущую версию. Он распространяется через MS08-067 уязвимость (которая была исправлена Microsoft, так что обновленные системы не будут заражены) для систем с внешними ip адресами. Если подключения к интернету не имеется, то старается обновится через локальную сеть. Он открывает 5554 порт и начинает вещание в качестве HTTP сервера, посылая SSDP запросы.
Также он соединяется с myspace.com, msn.com, ebay.com, cnn.com и aol.com.
И после запуска удаляет все записи о себе, включая файлы, историю, и ключи реестра.
Фергюсон также отметил соединение с Waledac (другой известный вирус) доменом (goodnewsdigital.com), и попытку скачать зашифрованный файл print.exe.
В последней активности зараженных вирусом машин, можно наблюдать скачивание новых Waledac бинарников и установку ложного антивируса.
В конце среды компанией TrendMicro была замечена новая модификация червя Conficker.c, названная WORM_DOWNAD.E. Предыдущая версия червя использует p2p функционал для загрузки обновления, которое показывает множество окон с оповещениями о несуществующих угрозах, а также надоедливые всплывающие окна, пока вы не согласитесь заплатить $49.95. Таким образом разработчики вируса, наконец, открыли свою цель: нажива.
Специалист Trend Micro по исследованию угроз Пол Фергюсон (Paul Ferguson) опубликовал список изменений внесенных обновлением, содержащий несколько интересных фактов.
Во-первых, Conficker прекратит свою работу 3 мая 2009 года. При установке вирус использует случайное имя файла и имя службы. После установки вирус удаляет свою предыдущую версию. Он распространяется через MS08-067 уязвимость (которая была исправлена Microsoft, так что обновленные системы не будут заражены) для систем с внешними ip адресами. Если подключения к интернету не имеется, то старается обновится через локальную сеть. Он открывает 5554 порт и начинает вещание в качестве HTTP сервера, посылая SSDP запросы.
Также он соединяется с myspace.com, msn.com, ebay.com, cnn.com и aol.com.
И после запуска удаляет все записи о себе, включая файлы, историю, и ключи реестра.
Фергюсон также отметил соединение с Waledac (другой известный вирус) доменом (goodnewsdigital.com), и попытку скачать зашифрованный файл print.exe.
В последней активности зараженных вирусом машин, можно наблюдать скачивание новых Waledac бинарников и установку ложного антивируса.
