SKY-net

По мнению экспертов антивирусной компании Trend Micro, сетевой червь Conficer все-таки начал проявлять первые признаки активности и серверы компании уже на протяжении нескольких суток фиксируют растущие объемы пирингового трафика между инфицированными компьютерами.

Одновременно с этим, в блоге компании появилось сообщение об обнаружении нового варианта червя Conficker Worm_Downnad.E, который распространяется при помощи технологии P2P. Сообщается, что действию данного червя подвержены только пользователи операционной системы Windows. Девид Перри, директор по информационному образованию Trend Micro, говорит, что компания в данный момент занята исследованием образов кода, но уже очевидно, что он не менее,чем работает в качестве кейлоггера и похищает закрытую информацию с зараженной машины.

Существующая на сегодня разновидность червя распространяется в различных .sys-файлах нескольких руткитов, причем само наличие вредоноcного кода в рутките обнаружить очень сложно, поскольку Conficker зашифрован исключительно стойкими алгоритмами шифрования. В блоге Trend Microsoft также приводятся данные, согласно которым червь пытается тестировать интернет-соединения, обращаясь к сайтам MySpace.com, MSN.com, eBay.com, CNN.com и AOL.com.

Вирусные аналитики говорят, что все логи своей деятельности червь старательно подчищает, а дата "выключения" червя обозначена как 3 мая. "Так как зараженные компьютеры получают компоненты червя с многих источников, а не с одного сервера, заблокировать источники Conficker довольно сложно. Но наши данные показывают, что после 3 мая новый вариант червя прекратит всякую репликацию, хотя инфицированные машины по-прежнему можно будет контролировать удаленно", - говорит Перри.

Минувшим вечером исследователи Trend Micro обнаружили, что многие зараженные машины начали передавать в больших объемах зашифрованный трафик на один из серверов, IP-адрес которого принадлежит корейскому сегменту глобальной сети.

"Судя по всему, в новой версии червя Downad/Conficker главным методом коммуникации являются не HTTP-соединения с серверами, а P2P-соединения с другими инфицированными машинами", - говорится в блоге компании.

Еще одной неприятностью, связанной с новым Downad/Conficker, является то, что червь налаживает коммуникационные процессы с машинами, зараженными сетевыми червями семейства Waledac, а также с огромной спамовой бот-сетью Storm. Новый Downad/Conficker пытается получать доступ к доменам Waledac и скачивать оттуда новые инструкции в зашифрованных форматах. По предположительным данным, данные инструкции также могут представлять собой дополнительные компоненты Downad/Conficker, наделяющие его новым функционалом.

citcity.ru

Опубликовано 10.04.2009 06:22 и размещено в рубрике IT новости. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Червь Conficker начинает проявлять активность
• Уязвимость в Windows стала причиной появления нового ботнета
• Symantec: Conficker продолжает распространяться с высокой скоростью
• Червь Conficker продолжает распространяться с высокой скоростью
• Появилась новая версия червя Conficker