昨日、Confickerの新たな亜種が発見された。現在ファイルを調査しているところだが、これまでに分かったことを以下にまとめておく。
・4月8日、P2Pネットワークを介して、Conficker.Cに感染したマシンに新たなアップデートが用意された
・我々は新たなファイルをConficker.Eと呼んでいるが、このファイルは以前の感染とともに実行され、共存する
・同ファイルでは再び、MS08-067脆弱性を介しての蔓延が可能になっている。Conficker.Cでは拡散機能は削除されていたが、おそらく背後にいる連中が自分たちのミスに気づき、再び追加したのだろう
・スパムボットのWaledacと、何らかの関係があるかもしれない。Conficker.Cに感染したコンピュータの中には、良く知られているWaledacドメインに接続し、そこでWaledacをダウンロードしたものがある
・Conficker.Cに感染したマシンに至ることが知られている通り、偽アンチウィルス製品とのコネクションもある。その不正な製品とはSpyware Guard 2008である
・Conficker.Eは、2009年5月3日以降、自身を削除する
分かりにくく、また奇妙に聞こえるだろうか? 実際その通りだし、不幸なことに、Confickerに関して容易なことなど何も無いため、その挙動について何か分かり次第、この投稿を更新し続ける予定だ。我々は昨日以来、新たなConficker.Eを、そしてそれがダウンロードする関連ファイルをすべて検出している。
・4月8日、P2Pネットワークを介して、Conficker.Cに感染したマシンに新たなアップデートが用意された
・我々は新たなファイルをConficker.Eと呼んでいるが、このファイルは以前の感染とともに実行され、共存する
・同ファイルでは再び、MS08-067脆弱性を介しての蔓延が可能になっている。Conficker.Cでは拡散機能は削除されていたが、おそらく背後にいる連中が自分たちのミスに気づき、再び追加したのだろう
・スパムボットのWaledacと、何らかの関係があるかもしれない。Conficker.Cに感染したコンピュータの中には、良く知られているWaledacドメインに接続し、そこでWaledacをダウンロードしたものがある
・Conficker.Cに感染したマシンに至ることが知られている通り、偽アンチウィルス製品とのコネクションもある。その不正な製品とはSpyware Guard 2008である
・Conficker.Eは、2009年5月3日以降、自身を削除する
分かりにくく、また奇妙に聞こえるだろうか? 実際その通りだし、不幸なことに、Confickerに関して容易なことなど何も無いため、その挙動について何か分かり次第、この投稿を更新し続ける予定だ。我々は昨日以来、新たなConficker.Eを、そしてそれがダウンロードする関連ファイルをすべて検出している。