Todos habíamos sido advertidos: 01 de abril fue el día en que el DOWNAD infame /Conficker gusano tenía que activar y hacer sus actos cobardes, lo que podría ser. El día llegó y se fue sin un quejido de la destrucción iniciada por Conficker, aunque eso no impidió que un sinnúmero de medios de comunicación de informar sobre el mismo (HotHardware incluido). Conficker generó 50.000 nombres de dominio y comenzó a ponerse en contacto con los dominios - como se predijo - pero no hubo ningún daño a los sistemas infectados, por lo menos en lo que los investigadores podrían contar.
Aparte de eso, Conficker se mantuvo relativamente tranquila ... Eso es, hasta que este último martes por la noche ...
Los ciber-detectives más de Trend Micro han estado monitoreando de cerca un sistema Conficker-infectado, y señaló que todo lo que había estado haciendo era "el control continuo de las fechas y horas a través de sitios de Internet, la comprobación de actualizaciones a través de HTTP, y las comunicaciones P2P crecientes de los nodos pares Conficker.
" Pero luego en 07:42:21 PDT, el 7 de abril, un nuevo archivo (119,296 bytes) se presentó en la carpeta /Temp de Windows del sistema. El archivo llegó en el sistema a través de un
Crédito "respuesta TCP cifrada (134,880 bytes) de un nodo Conficker P2P IP conocida (verificado por otras fuentes independientes), que fue organizada en algún lugar en Corea.
": Trend Micro Mere segundos (07:41:23 PDT) después se descargó el archivo, el sistema intentaron acceder a un dominio que es conocido por albergar el gusano Waledac: "El dominio se resuelve actualmente a una IP que aloja una estratagema Waledac conocido en HTML para descargar PRINT.EXE, que ha sido verificado para ser un nuevo binario Waledac ". Esto tenía los investigadores rascándose la cabeza un poco, tratando de averiguar cuál podría ser la conexión entre Conficker y Waledac.
Después de analizar ese primer archivo que descargó en su sistema, los investigadores han identificado posteriormente como un nuevo variante del gusano Conficker, que ahora están llamando WORM_DOWNAD.E. Algunos de los hechos que descubrieron acerca de esta nueva variante son:
1. (Un) Gatillo Fecha - 3 de mayo de 2009, se detendrá running2. Se ejecuta en nombre de archivo aleatorio y nombre3 servicio aleatorio. Elimina este cayó afterwards4 componente.
Se propaga a través de MS08-067 para IPs externas si Internet está disponible, si no hay conexiones, utiliza IPS5 lo