Новая модификация сетевого червя Conficker
Уже не раз на страницах этого блога я писал о вирусном триумфаторе 2009 года — сетевом черве W32.Conficker, также известном как W32.Downadup (Symantec), Net-Worm.Win32.Kido (Лаборатория Касперского). Но несмотря на то, что многие уже справились с подобной инфекцией, в прошлую пятницу, 20 февраля, всемирно известный “пакостник” Conficker вновь напомнил о себе. На сей раз Conficker порадовал нас своей новой модификацией.
Согласно информации, представленной Microsoft Malware Protection Center, новая модификация Worm:Win32/Conficker.С, именуемая в сети Conficker.B++, обладает функционалом backdoor. Прошлая модификация Conficker.B вносила изменения в библиотеку netapi32.dll, дабы предотвратить дальнейшее эксплуатирование уязвимости в службе “Сервер”, описанной в бюллетене MS08-067.
Младший брат Conficker.С не производит изменений библиотеки netapi32.dll. Вместо этого Conficker.С прослушивает запросы на наличие определенной сигнатуры в шелл-коде и определенного URL-адреса. Функция, заложенная в шелл-коде, выполняется только в случае полного соответствия вышеперечисленных параметров. Нововведения, привнесенные Conficker.С, позволяют авторам вируса дополнительно загрузить на компьютеры, инфицированные данной модификацией, вредоносный код.
Существующая версия Microsoft Windows Malicious Software Removal Tool (MSRT) детектирует новую модификацию как Worm:Win32/Conficker.B. Но уже в следующей версии MSRT новая модификация будет определяться как Worm:Win32/Conficker.С.
Напомню также, что компания Майкрософт объявила о награде размером в $250,000 за предоставление информации об авторах червя Conficker! Если кто-нибудь располагает данной информацией… =)
И напоследок приведу пару схем распространения сетевого червя W32.Conficker.
Последние комментарии