我們還可以看到��,有些主機已被植入了 Waledac payload����。(事實上����,它可能包含不法之徒在這些域上植入的任何內(nèi)容��。)
這些下載的內(nèi)容分別被檢測為 FakeAlert-SpywareProtect 和 Waledac.gen.b�����。
同時作為 payload 程序的一部分下載下來的�,是我們熟悉的類似于 MS08-067 的"熱"補丁。而這一次�����,它更接近于原始補丁 – 因為這樣可以躲過檢測�。(請注意:我們的 McAfee Conficker Detection 工具正在重新設(shè)計中,旨在支持對最新變種的檢測����。)
還有兩條值得注意的事情�����。第一條就是要關(guān)注新的截止日���。5 月 3 日,該最新變種就將過期��。細想一下�����,這一點會讓我們聯(lián)想到很多有趣的問題����。比如說,這是否只是偶然散播 Waledac 的 Conficker 開發(fā)團隊的一次小試驗���?亦或只是出于其他的個人原因(比如轉(zhuǎn)移注意力)采取該措施����?或許這只是租用的 botnet 的截止日期��?我想大多數(shù)安全機構(gòu)一定都在思考這些有趣的問題。
第二條是�,當(dāng)感染病毒的主機解析 HTTP rendez-vous 域名時,它會將解析的 IP 與已查詢過的 IP 列表進行對比���,如果新 IP 存在于列表中�����,那么它將繼續(xù)對比列表中的下一個域。
當(dāng)然�,如有其他事情發(fā)生,我們將會及時通報�。
