水曜日の終わりに、TrendMicroはWORM_DOWNAD.Eと呼ばれるConficker.cワームの新しい変更に気付きました。 ワームの以前のバージョンは、p2p機能を使用して、存在しない脅威に関するアラートを表示する多くのウィンドウを表示するアップデートをダウンロードします。 したがって、ウイルスの開発者は最終的に彼らの目標を発見しました:利益。
Trend Micro Threat ResearchのスペシャリストであるPaul Fergusonが、更新によって行われたいくつかの興味深い事実を含む変更のリストを投稿しています。
まず、Confickerは2009年5月3日にシャットダウンされます。 インストール中、ウイルスはランダムなファイル名とサービス名を使用します。 インストール後、ウイルスは以前のバージョンを削除します。 外部IPアドレスを持つシステムのMS08-067脆弱性(Microsoftにより修正され、更新されたシステムが感染しないようにする)を通じて配布されます。 インターネット接続がない場合、ローカルネットワークを介して更新を試みます。 ポート5554を開き、HTTPサーバーとしてブロードキャストを開始し、SSDP要求を送信します。
また、myspace.com、msn.com、ebay.com、cnn.com、aol.comに接続します。
また、起動後、ファイル、履歴、レジストリキーなど、自身に関するすべてのエントリを削除します。
ファーガソンは、Waledac(別の既知のウイルス)ドメイン(goodnewsdigital.com)への接続、および暗号化されたprint.exeファイルのダウンロードの試みにも注意しました。
ウイルスに感染したマシンの最新の活動では、新しいWaledacバイナリのダウンロードと偽のウイルス対策のインストールを見ることができます。
