Olimme kaikki varoitettu: 1. huhtikuuta oli päivä, että pahamaineinen DOWNAD /Conficker-mato piti aktivoida ja tehdä sen viheliäinen tekoja, mitä ne voisivat olla. Päivä tuli ja meni ilman valittaen Conficker-aloitettu tuhoa, vaikka se ei estänyt lukemattomia tiedotusvälineiden raportoinnista se (HotHardware mukana). Conficker teki tuottaa 50000 verkkotunnuksia ja alkoi yhteyttä aloilla - kuten on ennustettu - mutta mitään vahinkoa tehtiin tartunnan järjestelmiä, ainakin niin pitkälle kuin tutkijat voisivat kertoa. Muu kuin, että Conficker pysyi suhteellisen rauhallinen ...
Eli, kunnes tämä viime tiistai-iltana ...
cyber-sleuths haltuunsa Trend Micro on seurannut tiiviisti Conficker-tartunnan järjestelmä, toteaa, että kaikki se oli tehnyt oli "tarkastetaan jatkuvasti ja -ajat kautta Internet-sivustoja, tarkistaa päivitykset HTTP, ja kasvava P2P tiedonannot Conficker peer solmut." Mutta sitten 07:42:21 PDT 7. huhtikuuta uuden tiedoston (119296 bytes) ilmaantui järjestelmän Windows /Temp-kansioon.
Tiedosto saapui järjestelmän kautta "salattu TCP vastaus (134880 bytes) tunnetusta Conficker P2P IP-solmun (todennettu muut riippumattomat lähteet), jota isännöi jossain Koreassa."
Luotto: Trend Micro Mere sekuntia (07:41:23 PDT) Kun tiedosto on ladattu, järjestelmä yrittänyt käyttää verkkotunnuksen, jonka tiedetään isännöidä Waledac mato: "domain päättää tällä hetkellä IP joka isännöi tunnettu Waledac juoni HTML ladata print.exe, joka on varmistettu olevan uusi Waledac binary. " Tämä oli tutkijat raapimaan päätään hieman, yrittää selvittää, mitä yhteys Conficker ja Waledac ehkä.
Tutkittuaan että ensimmäinen tiedosto, joka ladataan niiden järjestelmä, tutkijat ovat myöhemmin todettu sen uutena variantti Conficker-mato, jota he vaativat nyt WORM_DOWNAD.E. Jotkut tosiasiat he löysivät tämän uuden variantin ovat:
1. (Un) Trigger Date - 03 toukokuu 2009, se pysähtyy running2. Toimii satunnainen tiedostonimi ja satunnainen palvelun NAME3. Poistaa tämä putosi komponentti afterwards4. Etenee kautta MS08-067 ulkoiseen IP jos Internet on käytettävissä, jos ei yhteydet, käyttää paikallisia IPs5.
Avaa portti 5114 ja toimii HTTP-palvelimen, lähettämällä kautta SSDP request6. Yhdistetään seuraavat sivustot: Myspace.com msn.com ebay.com cnn.com aol.com
Yksi niistä tavoista, että Conficker tiedetään leviäminen on kautta tunnettu haavoittuvuus (MS08-067) Windows 2000 , Windows XP, ja Windows Server 2003: n Server -palvelu. "Haavoi