Conficker病毒和愚人節謠傳的釋疑

Conficker+愚人節
去年底到今年初,一個藉由windows安全性漏洞來散佈的病毒Conficker(又名Downadup)在全球流行,感染超過百萬台電腦,M$甚至祭出25萬懸賞要抓出兇手...
傳說中這個病毒會在設定在四月一日爆發什麼破壞性的行動讓人擔心,針對這點,F-secure社公佈了一個Q&A,對愚人節的謠傳做出釋疑
Questions and Answers: Conficker and April 1st

Quote:
Q: 聽說4月1日網路會發生很糟的事情?
A: 不見得

Q: 說真的,Conficker蠕蟲會在4月1日作些壞事?
A: Conficker會改變運作方式,但是不會在4月1日造成明顯動作

Q: 所以4月1日會發生什麼事
A: 目前為止, Conficker每天都在250個網域巡迴自我更新,在4月1日,最新版的Conficker會改成由50000的網域中選500個

Q: 最新版?Conficker還有很多版本?
A: 是, 最新版還不常見. 年初以來被感染最多的是B型變種,但是B型變種不會在4月1日做什麼

Q: 我的系統沒被感染的話,4月1日不會有事嗎?
A: 不會.

Q: 我用麥金塔系統不會有事嗎?
A: 不會.

Q: 所以意思是,攻擊者利用下載頻道就能在所有的電腦上執行任何程式?
A: 對所有感染最新版本的電腦的話,是.

Q: 但是這個P2P的作用是什麼?
A: Conficker利用P2P自我更新,不需要透過某個伺服器.

Q: 這不就是說,某個壞蛋要在這些電腦上執行什麼,不需要等到4月1日?
A: 沒錯! 所以才說4月1日並不會發生特別大的事情.

Q: 會有媒體宣傳?
A: 會. 就像以前有設定爆發日期的病毒在大流行時一樣,例如,米開朗基羅(1992), CIH(1999), Sobig(2003), Mydoom(2004)和Blackworm(2006).

Q: 但是,那些病毒也沒像預期般的有發生什麼!
A: 正是這樣.

Q: 所以,4月1日我需要整天關機?
A: 不需要,你只需要確定沒被感染.

Q: 為了自保,我可以更改系統時間?
A: 不需要. 病毒只會在自我更新的時候用到系統時間.

Q: 我搞混了,你們怎麼知道病毒在4月1日會有全球性攻擊?這一定是陰謀!
A: 你是搞混了. 並不會有什麼"全球性攻擊". 只有感染的電腦在4月1日會有些舉動. 我們已經對病毒反組譯所以知道這個行為.

Q: 下載的程式會以管理員權限執行?
A: 是, 以本機管理員權限,這是壞消息.

Q: 而且病毒不只在4月1日,也可以在這之後下載程式?
A: 正確. 而且沒有理由不這樣,比方說4月5日.

Q: 病毒可以執行任何程式,要做什麼?
A: 我們不知道他們計畫要做什麼,如果有的話當然是竊取資料,寄送垃圾信,阻斷式攻擊等.

Q: "他們"是誰?
A: 不知道,只知道他們很專業.

Q: 專業? Conficker有利用MD6演算是真的嗎?
A: 是. 這也許是使用新演算法的第一個案例.

Q: 為什麼不感染電腦,設一個時鐘到4月1日看會發生什麼?
A: 病毒不是這樣動作. 它會連到某個網站來取得時間.

Q: 是嗎? 所以把網站關了不就解決問題了?!
A: 不可能. 那些網站是像 google.com, yahoo.com 和 facebook.com.

Q: 但是你們現在就可以弄個假的 google.com 引誘病毒連上下載網站!
A: 可以,但是現在可能下載不到東西. 到4月1日也許會有.

Q: 我擔心了. 我怎麼知道有被感染?
A: 試著連上 www.f-secure.com. 如果不能連上可能就是被感染, 因為 Downadup/Conficker 會擋掉防毒公司的網站.

Q: "Conficker"名稱的由來?
A: Conficker 是 trafficconverter 拼湊而來,那是第一個變種連上的網站.

Q: 為什麼有兩個名字 – Downadup 和 Conficker?
A: 因為有不同防毒公司同時發現,所以有不同的命名. 目前大部分使用 Conficker這個名稱.

Q: 目前有多少電腦感染?
A: 大約100~200萬. 但是無法確認有多少是最新型變種.

...(略)...

Q: 第一個變種是何時發現?
A: 大約08年的11月20日.

Q: 已經4個月?有沒有完整的時間表.
A: 這裡有.

Q: 結果這只是愚人節玩笑?
A: 不是No, 雖然不見得會在特定日子發生什麼, 但是病毒不是開玩笑的. 不能低估這背後的組織.

...(下略)...
trackbackTrackback: http://blog.snow-sugar.net/trackback.php?tbID=591&extra=c16026
taggedTags: 資安 Conficker 0401
Comments: 0 |Trackback: 0 | Read: 2822 | Print | Download
add nookmarks Bookmarks
Share to:Google BookmarksYahoo! My WebWindows LiveDiggDel.icio.usfacebookfacebookredditslashdotfurltechnoratiMyShare樂多網路書籤UDN共享書籤HemiDemi貼到funPLivedoor ClipFC2 BookmarkHatena::Bookmark百度搜藏
referers Link from
  以下連結並未逐一檢查,點選前請自行留意右方評價!
2 Yahoo search: 電腦的第一個病毒
2 Google search: conficker是什么
2 Yahoo search: Conficker.Q
1 Yahoo search: Conficker A型/B型
pannya
Write New Comment
Name:(*) Password:
Website: Email:
Validation:(*) Validation Image [Reload] Option:
Content:(*)