专家称发现Conficker弱点 更易进行检测
来源:岁月联盟
时间:2009-04-01
这种病毒的漏洞是由Tillmann Werner和Felix Leder共同发现的,他们来自于Honeynet Project——由志愿者组成的专门研究计算机安全和信息共享技术的公益组织。这两位研究员发现,受到Conficker感染的计算机会在发送RPC信息的时候返回一个异常错误提示。这一发现促使Conficker Cabal(专门对抗Conficker的研究员和厂商小组)开始将这些新发现用在实处以帮助网络扫描器检测它们。
随着4月1日的日益临近,与Conficker的斗争也异常激烈。被感染有Conficker.c的电脑——该蠕虫病毒的第三个变异体,该变种会比此前的两个版本(Conficker.A和Conficker.B)更具危害性。它将会在4月1日那天使用一种新的通信方式,建立起同安全控制的指挥与控制服务器间的联系。令人担忧的是,研究员尚无从知晓病毒制造者会给安全下达怎样的命令。
这一发现促使Conficker Cabal(专门对抗Conficker的研究员和厂商小组)开始将这些新发现用在实处以帮助网络扫描器检测它们。“我们的发现确实很棒:Conficker实际上改变了Windows在网络上的样子,这一改变可被远程、匿名的方式迅速地被检测到。”曾经发现DNS漏洞的IOActive安全检测部门主管Dan Kaminsky在他的个人博客中写道。
Leder和Werner发布了相关文章,更详细地描述了情况,并且推出了他们自己的“概念型”扫描器,该扫描器可检测不同的补丁。据报道,几个扫描工具供应商正在将这一新发现应用在产品(如开源Nmap)和技术(如Qualys和迈克菲)中。
Conficker首次出现是在2008年年末,它以微软的Windows Server服务为安全对象。最新的变种被命名为Conficker C(但是还有着同样的知名的名字如Downadup和Conficker D),从4月1日起,该蠕虫编写者将开始接触5万个域名中的500个域。
