Кроме этого, Conficker оставался относительно спокойно ... То есть, до этого в прошлый вторник ночью ...
<р> Кибер-сыщики более в Trend Micro были тесно мониторинга Conficker-зараженную систему, отметив, что все это делал был "непрерывный контроль даты и времени через интернет-сайтов, проверка обновлений через HTTP, и рост P2P соединения из одноранговых узлов Conficker." Но тогда в 7:42:21 PDT 7 апреля, новый файл (119,296 байт) появился в папке Windows, /Temp системы.
Файл прибыл на системе с помощью
<р> Кредит »зашифрованном ответ TCP (134,880 байт) от известного Conficker P2P IP узла (проверяется других независимых источников), которое было организовано где-то в Корее." Компания Trend Micro Мере секунд (7:41:23 PDT) после того как файл был загружен, система пыталась получить доступ к домену, что, как известно, пройдет червя Waledac: "Домен разрешает себе на IP, на котором размещается известный Waledac уловка в HTML, чтобы загрузить print.exe, который был проверен, чтобы быть новым Waledac двоичный ".
Это было исследователи ломают голову немного, пытаясь выяснить, что связь между Conficker и Waledac может быть.
<Р> После анализа, что первый файл, загруженный в их системе, исследователи впоследствии определили его как новый вариант червя Conficker в, который они теперь называют WORM_DOWNAD.E. Некоторые из фактов, которые они обнаружили об этом новом варианте являются:
<р> 1. (Un) триггера Дата - 3 мая 2009 г., он остановится running2. Работает в случайное имя файла и случайной NAME3 услуг. Удаляет это упал компонента afterwards4.
Размножается с помощью MS08-067 внешних IP-адресов, если Интернет доступен, если нет связей, использует местное IPs5. Открывает порт 5114 и служат HTTP-сервера, с помощью вещания с помощью SSDP request6. Подключается к следующих сайтах: Myspace.com msn.com ebay.com cnn.com aol.com
<р> Одним из способов, что Conficker, как известно, распространен