Компания Trend Micro обнаружила новый файл Conficker P2P IP node — новый вариант червя Conficker известен сейчас как WORM_DOWNAD.E.Исследую поведение червя Conficker, аналитиками Trend Micro была обнаружена растущая P2P активность от компьютеров, расположенных в Корее. Файл Conficker P2P IP node можно найти в папке Windows Temp, которая была создана 7 апреля 2009 года 07:41:21 PM, PDT.
Новая разновидность WORM_DOWNAD.E запускается используя случайные имена файлов и случайные названия сервисов, для того чтобы подключится к следующим сайтам: myspace.com, msn.com, ebay.com, cnn.com и aol.com. Червь также заражает IP-адреса в интернете через уязвимость MS08-067, если нет интернет-соединения — используются локальные ПК.
Для защиты компьютера от заражения компания Trend Micro советует установить обновления операционной системы, обновить антивирус, отключить функцию автозапуска для дисков, пользоваться безопасными паролями из букв, цифр и прочих символов и регулярно изменять их.
Кроме того, необходима осторожность при поиске информации о DOWNAD и Conficker в интернете. Уже известны поддельные антивирусные программы, разработчики которых пытаются воспользоваться данной ситуацией. Эти программы сообщают, что компьютер пользователя заражен, и предлагают заплатить за загрузку программы удаления червя, которая в действительности может оказаться очередным вирусом.
http://technoportal.ua/news/soft/3971.htmСпециалисты Trend Micro внимательно наблюдали за признаками деятельности червя Conficker и обнаружили всплеск активности узлов сети P2P Conficker, предположительно, находящихся в Корее. Файл, помещенный в папку для временных файлов Windows, был создан 7 апреля 2009 г. в 19:41:21 по тихоокеанскому времени (06:41:21 московского времени 8 апреля).Новый вариант червя, WORM_DOWNAD.E, запускается из файлов со случайными именами в виде службы со случайным именем и подключается, как минимум, к следующим сайтам в Интернете: myspace.com, msn.com, ebay.com, cnn.com и aol.com. При наличии соединения с Интернетом червь пытается заразить компьютеры с внешними IP-адресами, используя уязвимость MS08-067. В отсутствие соединения с Интернетом червь пытается заразить компьютеры с локальными IP-адресами. Таким образом, червь распространяется посредством уязвимостей в операционных системах.
Как всегда, пользователям Интернета настоятельно рекомендуется установить и обновить свои системы безопасности, чтобы обеспечить надежную защиту своих компьютеров от подобных угроз, для которых характерна высокая скорость распространения, высокая скрытность и сложность обнаружения.
http://www.nestor.minsk.by/kg/news/2009/04/0916.htmlConficker-E обнаруживает потенциальную связь с другими вирусами. Trend Micro сообщает, что новый вариант Downadup/Conficker пытается связаться с серверами, имеющими отношение к червю Waledacl
В рамках борьбы с вирусом Conficker Координационный центр домена RU 30 марта 2009 года создал технического регистратора с идентификатором CC-REG-RIPN, который упреждает регистрацию доменов .RU, обнаруженных в таблицах данных вируса. При этом учитывается время активации доменных имен, содержащихся в вирусе. По истечении срока потенциальной активации доменного имени, сообщает администратор российского домена, зарегистрированные регистратором CC-REG-RIPN домены удаляются из реестра домена RU.
Вирус Conficker (также известен как Downup, Downadup и Kido) ежедневно создает уникальные доменные имена в 116 различных национальных доменах верхнего уровня, таких как RU, CA, PL и др. Вирус постоянно распространяется и еще в 2008 году создавал около 250 различных доменов в день. С появлением C-версии вируса эта цифра резко возросла и достигла 50 тыс. имен в сутки.
Вирус Conficker работает по принципу "двухступенчатой ракеты". Первая часть вируса заражает многочисленные платформы Windows, имеющие критическую степень уязвимости по причине того, что они не были обновлены с помощью патча, выпущенного в октябре 2008 года (по данным на январь 2009 вирус поразил от 9 до 15 млн компьютеров во всём мире). Предполагалось, что 1 апреля 2009 года будет активирована вторая часть вируса. Пока не ясно, как она работает, но имеющаяся на сегодняшний день информация позволяет предположить, что некий код может внедряться в веб-сайты и, затем, распространять вирус или активизировать другие вредоносные процессы.
Более подробную информацию о вирусе и возможных методах борьбы с ним можно найти на сайте Conficker Working Goup.
http://info.nic.ru/st/2/out_2515.shtml