研究人员日前表示,感染数百万台Windows电脑的Conficker蠕虫,与另一个恶名昭彰的僵尸网络相关,极可能被用来寄发垃圾邮件和窃取个人资料。
4月1日发作日毫无动静的Conficker在8日开始蠢动,利用点对点网络传送更新,在受害PC中植入未知的payload程序。研究人员怀疑,那可能是键盘侧录程序、垃圾邮件产生器,或两者皆是。
Conficker这次也试图连上MySpace.com、MSN.com、eBay.com、CNN.com和AOL.com等网站,以测试受害电脑的网络连接,还会删除自己在托管主机的踪迹,并订于5月3日关闭某些功能。
此外,Conficker连上一个已知感染Waledac蠕虫的网络域名,并下载一个加密文档。研究人员正在分析该程序代码和直接载入受害主机的程序,确定其性质。他们怀疑, Conficker和Waledac是出自同一组人。趋势科技高级威胁研究员Paul Ferguson说:“我非常确定这两者背后是同一组人。Conficker上满是他们(Waledac制作者)的指纹。”
感染Waledac的电脑,构成了Ferguson所谓“网络上最邪恶的垃圾邮件僵尸网络”。Waledac通过一个恶意的网络链接或电邮(通常是假的圣诞贺卡或情人节信息,或与奥巴马就职演说相关的主题)散布,作用是产生垃圾电邮并窃取个人资料,如密码。
Ferguson相信Waledac蠕虫的主谋位在东欧。他认为这组人创造了僵尸网络,以尝试不同的payloads和商业模式,而Waledac就是最后的产物。Ferguson猜测,他们可能将以往行动得到的经验应用在Conficker上。Ferguson说:“有经验上的证据,显示这些人是受聘、以获利为目标的网络犯罪组织,而Conficker不过是那个组织用来实现获利的最佳工具。”
赛门铁克安全机制应变中心(Symantec Security Response)副总Vincent Weafer,证实Waledac与Conficker的关系,但不愿猜测两只蠕虫的主谋究竟是谁。他说,Conficker下载Waledac文档的动作,“再次印证了我们认为这个大型僵尸网络只是用来牟利的看法。”他指出:“这是这些人想利用这个僵尸网络牟利的第一个举动。”
至于Conficker程序代码内含的5月3日期限,Weafer说那似乎是要关闭第一个变种,Conficker.A的某些程序。赛门铁克的研究员将最近散播的Conficker程序标为新的变种,取名Downadup.E(Downadup是Conficker的别名)。
民众在下载Conficker移除工具时也要特别小心。Marshale8e6发现,有垃圾邮件利用这次恐慌,诱骗民众下载假的杀毒软件。这封研究宣称来自微软的安全部门,并提供一个网页链接、假的电脑扫毒,鼓励访客购买无用的杀毒软件,其实是安装恶意件。
此外,用搜索引擎寻找Conficker移除工具也不安全。趋势科技发现,用Google执行Conficker相关的关键字搜索,结果竟包含某些恶意软件链接。他们建议民众直接前往可信任的安全软件商网站,不要进行一般搜索。
同时,一只模仿Conficker的蠕虫Neeris,也通过MSN Messenger散播。微软表示,最近还有一个模仿Conficker行为的新变种,利用同样的Windows漏洞,并可通过便携式存储设备散播。
网友评论