Conficker蠕蟲醒了 透過P2P更新
                                                                                                                                                    趨勢科技公司(Trend Micro)周三表示，Conficker 蠕蟲終於有動作了--透過由中毒電腦形成的 P2P 網路自我更新，並在染毒電腦上卸下神祕的病毒彈頭(payload)。

趨勢科技全球資安宣導總監 David Perry 說，研究員正在分析中毒電腦被植入軟體的程式碼，懷疑是某種鍵盤側錄程式，或其他意圖自電腦竊取私密資料的程式。

根據 TrendLabs Malware Blog，這隻蠕蟲也試圖連上 MySpace.com、MSN.com、eBay.com、CNN.com 和 AOL.com，以便測試電腦是否與網際網路連線，然後把自己的行跡從寄生的電腦中全部刪除，並設定在 5 月 3 日關閉。

由於中毒電腦是陸陸續續接收新的元件，而不是一口氣完成，趨勢科技先進威脅研究員 Paul Ferguson 認為，應該不會對這些殭屍電腦造訪過的網站造成混亂。

Perry 說：「5月3日過後，它會關閉，不會再自我複製。」不過，中毒電腦可能仍會遭到遠距遙控，被命令做其他的事。

日前趨勢科技研究員在 Windows Temp 檔案夾發現一個新檔，以及一個大型、加密的 TCP 回應，來源是在韓國的一個已知的Conficker P2P IP 節點(node)。

趨勢科技的部落格公告說：「正如所料，Downad/Conficker botnet 的 P2P 通訊或許已用來更新，而不是透過 HTTP 更新。Conficker/Downad P2P 通訊正如火如荼進行中。」

除了增加新的繁殖(propagation)功能外，據趨勢科技資安研究員 Rik Ferguson 指出，Conficker 還與 Waledac 惡意軟體及其Storm botnet 寄生的伺服器通訊。

這隻蠕蟲試圖連結一個已知的 Waledac 網域，然後下載另一個加密檔案。

一周前，網路盛傳 Conficker.C 將在 4 月 1 日愚人節當天發動攻擊，但結果是雷聲大雨點小。

起初研究員以為發現新的 Conficker 蠕蟲變種，但如今他們確定那只是這隻蠕蟲的新元件罷了。

Conficker 蠕蟲利用 Windows 的一個安全漏洞，經由可卸除式儲存裝置和密碼保護不周的網路分享四處散播。微軟已在去年 10 月修補這個漏洞。

http://www.zdnet.com.tw/news/softwa...20137458,00.htm