Todos tínhamos sido avisados: 01 de abril foi o dia em que o DOWNAD infame /Conficker worm foi suposto para ativar e fazer seus atos covardes, sejam elas quais forem. O dia chegou e passou sem um gemido de destruição Conficker-iniciado, embora isso não impediu inúmeros meios de comunicação de informar sobre ele (HotHardware incluído). Conficker fez gerar 50.000 nomes de domínio e começou a contactar os domínios - como previsto -, mas nenhum dano foi feito para sistemas infectados, pelo menos na medida em que os investigadores poderiam dizer.
Fora isso, o Conficker se manteve relativamente calmo ... Ou seja, até a última terça-feira noite ...
Os ciber-detetives em cima da Trend Micro foram acompanhar de perto um sistema infectados pelo Conficker, observando que tudo o que vinha fazendo era "a verificação contínua de datas e horários através dos sítios Internet, a verificação de atualizações via HTTP, e as crescentes comunicações P2P a partir dos nós de ponto Conficker." Mas, em seguida, em 07:42:21 PDT em 7 de abril, um novo arquivo (119,296 bytes) mostrou-se em pasta Windows /Temp do sistema.
O arquivo chegou no sistema através de um
Credit "resposta TCP encriptada (134,880 bytes) de um nó Conficker P2P IP conhecido (verificado por outras fontes independentes), que foi hospedado em algum lugar na Coreia.": Trend Micro Mere segundos (07:41:23 PDT) depois que o arquivo foi baixado, o sistema tentou acessar um domínio que é conhecido por hospedar o verme Waledac: "O domínio resolve atualmente a um IP que está hospedando um estratagema Waledac conhecido em HTML para fazer o download PRINT.EXE, o que foi verificado para ser um novo binário Waledac ".
Isto teve os pesquisadores coçando a cabeça um pouco, tentando descobrir o que a conexão entre o Conficker e Waledac poderia ser.
Depois de analisar esse primeiro arquivo que baixado em seu sistema, os pesquisadores têm identificado posteriormente como uma nova variante do worm Conficker, que eles estão chamando agora WORM_DOWNAD.E. Alguns dos fatos que descobriram sobre esta nova variante são:
1. (Un) Gatilho data - 03 de maio de 2009, ele irá parar running2. Corridas em nome de arquivo aleatório e nome3 serviço aleatório. Exclui este caiu afterwards4 componente.
Propaga via MS08-067 para IPs externos se o Internet está disponível, se há conexões, utiliza IPS5 local. Abre a porta 5114 e servir como servidor HTTP, por transmissão via SSDP request6. Conecta-se nos seguintes