Vi var alle blevet advaret: 1. april var dagen, at den berygtede DOWNAD /Conficker ormen skulle aktivere og gøre sine nedrige gerninger, uanset hvad de måtte være. Dagen kom og gik uden en klynken af Conficker-initieret ødelæggelse, selv om det ikke stoppe utallige medier fra rapportering om den (HotHardware inkluderet). Conficker gjorde generere 50.000 domænenavne og begyndte at kontakte domæner - som forudsagt - men ingen skade blev gjort for at inficerede systemer, i hvert fald så langt som forskerne kunne fortælle. Bortset fra det, Conficker forblev relativt stille ...
Det er, indtil denne sidste tirsdag aften ...
De cyber-detektiver end hos Trend Micro har været tæt overvågning af en Conficker-inficerede system, der konstaterer, at alt det havde gjort var "den løbende kontrol af datoer og tidspunkter via internetsider, kontrol af opdateringer via HTTP, og de stigende P2P kommunikation fra Conficker peer noder." Men så ved 07:42:21 PDT den 7. april, en ny fil (119,296 bytes) dukkede op i systemet Windows /Temp mappe.
Filen ankom på systemet via en
Credit "krypteret TCP respons (134,880 bytes) fra en kendt Conficker P2P IP-noden (verificeret af andre uafhængige kilder), som var vært et sted i Korea.": Trend Micro Mere sekunder (07:41:23 PDT), efter at filen blev hentet, at systemet har forsøgt at få adgang til et domæne, er kendt for at være vært for Waledac ormen: "Domænet løser i øjeblikket til en IP, der er vært for en kendt Waledac trick i HTML til download print.exe, der er blevet verificeret til at være en ny Waledac binær.
" Dette havde forskerne skrabe deres hoveder lidt, forsøger at regne ud, hvad forbindelsen mellem Conficker og Waledac kunne være.
Efter at have analyseret den første fil, der downloades på deres system, forskerne har efterfølgende identificeret det som en ny variant af Conficker-ormen, som de nu kalder WORM_DOWNAD.E. Nogle af de forhold, de opdagede om denne nye variant er:
1. (Un) Trigger dato - 3 Maj 2009, vil det stoppe running2. Kører i tilfældig filnavn og tilfældige tjeneste NAVN3. Sletter det faldt komponent afterwards4.
Forplanter via MS08-067 til eksterne IP-adresser, hvis Internet er tilgængeligt, hvis der ingen forbindelser, bruger lokale IPs5. Åbner port 5114 og tjene som HTTP-server, ved udsendelse via SSDP request6. Tilsluttes til følgende websteder: Myspace.com msn.com ebay.com cnn.com aol.com
En af de måder, som Conficker er kendt for at sprede er via en kend