We hadden al gewaarschuwd: 1 april was de dag dat de beruchte DOWNAD /Conficker worm werd verondersteld te activeren en te doen zijn lafhartige daden, wat ze zouden kunnen zijn. De dag kwam en ging zonder een kik van Conficker-geïnitieerde vernietiging, hoewel dat niet talloze media te stoppen van de rapportage op het (HotHardware inbegrepen). Conficker deed genereren 50.000 domeinnamen en begon met de domeinen - zoals voorspeld - maar geen schade werd gedaan om geïnfecteerde systemen, althans voor zover de onderzoekers kon vertellen.
Anders dan dat, Conficker bleef relatief rustig ... Dat wil zeggen, totdat deze laatste dinsdagavond ...
De cyber-speurneuzen over bij Trend Micro zijn nauw toezicht van een Conficker-geïnfecteerde systeem, waarbij geldt dat deze had gedaan was "de voortdurende controle van de data en tijden via internetsites, het controleren van de updates via HTTP, en de toenemende P2P mededelingen van de Conficker-peer-nodes." Maar dan op 7:42:21 PDT op 7 april, een nieuw bestand (119.296 bytes) getoond in de Windows-map van het systeem /Temp.
Het bestand kwam op het systeem via een
Credit "versleutelde TCP respons (134.880 bytes) van een bekende Conficker P2P IP-knooppunt (gecontroleerd door andere onafhankelijke bronnen), die ergens werd gehost in Korea." Trend Micro Mere seconden (07:41:23 PDT) nadat het bestand is gedownload, het systeem heeft geprobeerd toegang tot een domein dat bekend is dat de Waledac worm gastheer: "Het domein lost momenteel een IP-dat is het hosten van een bekende Waledac truc in HTML te downloaden print.exe, die is geverifieerd naar een nieuwe Waledac binair zijn.
" Dit hadden de onderzoekers hun hoofd krabben een beetje, proberen te achterhalen wat het verband tussen Conficker en Waledac zou kunnen zijn.
Na het analyseren van die eerste bestand gedownload op hun systeem, hebben de onderzoekers vervolgens is geïdentificeerd als een nieuwe variant van de Conficker-worm, die ze nu roepen WORM_DOWNAD.E. Sommige van de feiten die ze ontdekten over deze nieuwe variant zijn:
1. (Un) Trigger Date - 3 mei 2009, zal het running2 stoppen. Runs in willekeurige bestandsnaam en willekeurige dienst NAME3. Verwijdert dit gedaald component afterwards4.
Verspreidt via MS08-067 externe IPs als Internet is beschikbaar, als er geen verbindingen, maakt gebruik van lokale IPS5. Opent poort 5114 en dienen als HTTP-server, door uitzendingen via SSDP request6. Aansluit op de volgende sites: Myspace.com msn.com ebay