Компания Trend Micro зафиксировала активность Conficker

Со дня ожидаемой активизации червя Conficker прошло больше недели, и лишь теперь, когда стали звучать предположения о том, что тревога оказалась ложной, его создатели начали проявлять активность. Наблюдения специалистов в области компьютерной безопасности компании Trend Micro показали, что Conficker загружает на пораженные системы дополнительные программы. Подключение к удаленным серверам осуществляется при этом посредством сетей P2P.

В каталогах вредоносного программного обеспечения, составленных Trend Micro, закачиваемый файл фигурирует под названием WORM DOWNAD.E.

"Компонент, который Conficker скачивает через сети peer-to-peer, представляет собой сбрасыватель. Он служит для загрузки другого компонента, анализ которого мы проводим в данный момент. Есть предположение, что этот компонент обладает какими-то возможностями руткита, однако более подробных данных в настоящее время предоставить я не могу, поскольку у нас еще недостаточно информации о нем", – сообщил Пол Фергюсон (Paul Ferguson), специалист отдела исследования угроз повышенной опасности компании Trend Micro, в своем интервью журналу eWEEK.

Сбрасыватель предоставил исследователям интересные сведения: он содержит дату прекращения собственной активности – 3 мая. В этот день он осуществит подключение к крупнейшим сайтам сети – MySpace.com, MSN.com, eBay.com, CNN.com и AOL.com – с целью проверить наличие подключения к Интернету и удостовериться в правильности системного времени. Пользователь, таким образом, не сможет перевести часы, скажем, на день вперед и избежать загрузки на компьютер второго компонента.

Существуют признаки того, что последняя версия червя Conficker связана с семейством вредоносных программ Waledac. С их помощью в конце 2008 года удалось создать довольно крупную бот-сеть, через которую осуществлялись кампании по рассылке спама. "Новый вариант Downad/Conficker для загрузки всех своих компонентов устанавливает связь с серверами, имеющими отношение к семейству Waledac. Оставшиеся части пока не обнаружены, но, похоже, это и есть та самая долгожданная активность червя", – считает Рик Фергюсон (Rik Ferguson), разработчик решений компании Trend Micro.

Первые признаки активности Conficker были зафиксированы вечером 7 апреля, когда исследователи обнаружили его загруженный компонент в каталоге Windows Temp. Кроме того, был замечен зашифрованный отклик по протоколу TCP с узла сети P2P, известного носителя Conficker, расположенного в Корее. Этот сбрасыватель не представляет собой угрозу для тех пользователей, чьи системы не содержат тело червя. Специалисты отмечают, что значительного увеличения трафика P2P обнаружено не было, и процесс загрузки новых компонентов на инфицированные системы производится очень медленно.