解析Win32Conficker.D蠕虫毒

　　这几个月内，微软已经受到四个关于Conficker蠕虫病毒变种的报告，其中最新的变种是Worm:Win32/Conficker.D (也被称为 Downadup.C，在很多新闻文章中称其为Conficker.C，关于区分变体的问题可以参考conficker图表，链接为http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker)。为对付这些不同的Conficker 变种 (A/B/C)，行业内专门成立了社区合作形式的组织以共同抵御Conficker 蠕虫病毒所带来的威胁，即Conficker 专门研究组(Working Group，WG)。

　　研究组(WG)采取的措施之一就是防止已感染Conficker的机器从网站下载附件形式的恶意软件。具体是通过每天阻止将近500个域名通信来实现的(Conficker.A和Conficker.B/C分别需要阻止250个域名)，由于这些conficker变体可以监测并下载可执行的二进制文件，这样做将有助于控制受感染的机器继续扩大病毒范围。

　　Conficker.D于2009年3月4日正式成为Conficker蠕虫病毒系列的最新成员，该蠕虫病毒修改了自身的“phoning-home(封包回报)”机制，每天尝试从50000个域名中随机挑选500个域名以试图与恶意软件制造者通信，另外，该病毒还采用了点对点(P2P)机制，使它能够从其他已经感染Conficker.D计算机中分配和接收命令。这种“phoning-home(封包回报)”机制将从4月1日开始执行。

security.ctocio.com.cn_图解Conficker.D蠕虫传播机制_12ghpe63b7qr.jpg (61.46 KB)
2009-4-2 19:27

　　从上图中，我们可以看出命令机制和控制已经被Conficker.D感染的计算机主要分为两个步骤：

　　1. 每天从50000个生成的域名中登记一个域名，约有1% 的Conficker.D 感染计算机能够从恶意软件制造者接收指令。

　　2. 利用P2P 的机制，这些被感染的机器能够向其他被Conficker.D 感染机器分配原始指令。

　　P2P 的机制为 Conficker.D蠕虫病毒开辟了新渠道，能够更方便地从病毒制造者处接受和分配恶意代码。这些代码非常复杂，也逐渐开始不再依赖于域名来进行通信，可能是由于行业联合打击conficker病毒，而使该恶意软件制造者不得不作出改变。

　　以下的时间轴显示了关于Conficker 蠕虫病毒发展的大事件：

security.ctocio.com.cn_关于Conficker蠕虫病毒发展历程_7c7l92y53qb3.jpg (37.26 KB)
2009-4-2 19:27

　　2008年11月21日 — Worm:Win32/Conficker.A 被发现，主要特征包括：

　　·利用MS08-067 漏洞

　　·对 DNS 挂接，防止感染机器连接到安全站点

　　·每天连接到伪随机产生的 250 个域名试图与蠕虫制造者通信

　　·采用1024 位RSA 数字证书的MD5

　　2008年12月29日— Worm:Win32/Conficker.B 被发现(距离Conficker.A发现时间仅为38 天，它与Conficker.A的差别在于：