Clever Geek Handbook

Downadupワームの改変-W32.Downadup.C

画像



Downadupワーム(Konficker、Kido)を覚えていますか? これはすでに過ぎ去った日だと思いますか、それを忘れることができますか?

あなたは間違っています。



3月上旬、このワームの作成者は新しい修正W32.Downadup.Cをリリースしました。 この変更では、作成者はワームの配布コードを削除し、完全に削除しました。 しかし、彼は検出から身を守ることでより賢くなり、感染したボットネットに新しいウイルスを広めるための新しい保護された機能を得ました。



驚くべきことに、著者は恐れることなく、ボットネットの収益化の準備を続けています。 誰もが、Microsoftが著者を逮捕するために提案した25万ドルに rightえ、隠れると思いました。 しかし、いいえ-彼らは働き続けます。



だから、ワームの新しい改変についてもっと知りたい人は-Symantec W32.Downadup.C Bolsters P2Pブログの昨日の記事の翻訳を読んでください:



2009年3月4日から3月6日の間に、Downadupワームの作成者がDownadupネットワークの新しいメジャーアップデートを公開しました。または既知のウイルスとそのテスト)、新しい脅威に対する迅速な保護を行いました。 一般に、この脅威の歴史全体は非常に興味深いものです。



当初、ワームの主なタスクは拡散することでしたが、アップデートメカニズムを保護するための高度なコード署名メカニズムと信頼性の高いP2P(ピアツーピア)プロトコルによって補完される、かなり信頼性の高い大規模なボットネットへの拡散に成功しました。



以下は、この脅威の進化に関する一般的なデータを見ることができる表です。







このテーブルを完全に翻訳する必要はほとんどないので、私はほんの少しの単語を書きます。



バージョンCでは、ウイルスはもはや拡散していません。 しかし、彼は、HTTPおよびP2Pを介して更新を配信するための改善されたメカニズムと、検出および処理に対する保護の強化を受け取りました。 ウイルスは、コンピューターのセキュリティを確保するプログラムを検索して強制終了します。



W32.Downadup.Cの興味深い側面の1つは、配布モードの削除です。 これは、2009年3月5日の時点でTCPポート445のアクティビティが減少したという公開レポートと一致しました。 W32.Downadup.Cはそうではありません。 Simantek DeepSight脅威管理システムは、このアクティビティの減少を観察しました(下のチャート1を参照)。







チャート1. TCPポート445リクエストのアクティビティの減少おそらく、W32.Downadup.Cを使用したDownadupネットワークのアップグレードが原因です。



W32.Downadup.Cの次の重要な側面は、P2Pを介した信頼性の高い更新メカニズムの追加です。P2P機能により、作成者はDownadupに感染した他のコンピューターに暗号で署名された更新を送信できます。 この機能には、生成されたIPとポートのリストにUDPトラフィックを送信するUDP P2P検索エンジンが含まれています。 図2は、2009年2月18日から3月3日までにSymantec DeepSight Threat Management Systemで検出された1024を超えるポートのすべてのUDPアクティビティを示しています。







図2. 2009年2月18日から3月3日までの1024を超えるポートのUDPアクティビティ。



このトラフィックの急激な増加が3月4日に検出されました。 これは、W32.Downadup.Bに感染したコンピューターに送信されたW32.Downadup.Cの更新と同時に発生しました。 UDPアクティビティの大幅な増加は、W32.Downadup.Bに感染した多数のシステムがランダムIPアドレスのUDP P2P検索を実行し始めたことを示しています。 この動作は、W32.Downadup.Cの初期P2Pセットアップの特徴です。







図3. 2009年3月4日から3月18日までの1024を超えるポートのUDPアクティビティ。



IPの数(つまり、感染したコンピューターの最小数)-200万以上(翻訳者のメモ)に注意してください



P2P機能の主な目的は、W32.Downadup.Cに感染したコンピューターに署名された更新プログラムを作成者が送信できるようにすることです。 本質的に、この脅威はインターネットワーム(おそらくテスト段階)から完全に機能するバックドア\ボットに進化しました。 P2Pネットワークでは、Downadupネットワークを破壊するタスクが非常に困難になります。これは、閉鎖可能な集中管理されたコマンドセンターがないためです。

P2P更新に加えて、補助HTTP更新メソッドも改善されました。 この方法では、毎日50,000個のドメインのリストが生成され、そのうちの500個がランダムに選択されます。これは毎日チェックされ、暗号で署名された更新を見つけてダウンロードします。



それはそうかもしれませんが、このネットワークが将来どのように使用されるかについての情報やヒントはまだありません。


More articles:


All Articles