本月,受Downadup蠕虫病毒感染的电脑将“打电话回家”到几个合法的url地址,其中一个是由西南航空公司一名安全研究人员周日说,这可能会破坏这些网站。
Downadup/Conflicker蠕虫:下一只鞋什么时候会掉下来?
据索福斯公司的一位研究人员说。, Downadup蠕虫——也被称为Conficker——将试图在3月13日联系wnsux.com以获得进一步指示。然而,这个URL是由西南航空拥有的,它会将访问者重定向到该航空公司的主要网站southwest.com。
“3月13日,数百万感染Conficker的电脑将与wnsux.com联系,寻求进一步指示。Sophos研究人员确定为MikeW在公司博客上的一篇文章中写道.“他们不会得到任何(指示),但这肯定会扰乱西南网的运营。”
一旦感染了电脑,Downadup就会生成一个包含250个可能域名的列表(列表每天都在变化),从中选择一个,然后使用该URL访问一个由黑客控制的服务器,从那里下载额外的恶意软件安装到被劫持的电脑上。MikeW说,wnsux.com地址是该蠕虫病毒在3月份可能使用的7750个域名之一。
在此之前,研究人员逆向工程的算法这决定了任何一天的命令和控制路由域列表。然后,上个月,近20家科技公司和组织,其中包括微软(msft . o:行情)。和管理互联网域名系统的非营利组织ICANN联合起来破坏萌芽中的僵尸网络通过先发制人地将这些地址从流通中删除。
MikeW在3月的Downadup列表中发现了其他几个合法网站,包括jogli.com (Big Web Great Music)和qhflh.com(青海省女子网),预计分别在3月8日和3月18日“电话家庭”使用。
MikeW说,这些域可能受到蠕虫病毒本身的影响,也可能受到网络管理员为保护个人电脑而采取的措施的影响。他说:“数以百万计的Conficker受感染的机器在某一天接触该域名,可能会使该网站超载,并最终导致拒绝服务攻击。”根据f - secure集团。在美国,目前至少有210万台电脑感染了Downadup蠕虫病毒。“(或者)它们可能会被列入黑名单,阻止用户访问它们的服务。”以微软为例发布了Downadup的路由域列表IT管理员可以用来阻止受感染pc的出站“呼叫”。
MikeW说,Sophos已经联系了3月份名单上域名的所有者,包括西南航空。目前,西南航空公司收购了wnsux.com,显然是为了阻止负面宣传将用户分流到西南航空的网站并提供了一条信息,其中写道:“西南航空希望控制通过互联网发布有关该公司的不准确和不负责任的信息。”
Downadup首次引起关注是因为它利用了一个Windows漏洞,去年10月,微软在其罕见的漏洞之一中修补了这个漏洞紧急的更新.自从今年早些时候出现一个新的变种后,该蠕虫病毒就开始广泛传播,并在几天内迅速危害了多达900万台电脑。
微软还悬赏25万美元,奖励那些提供信息,以逮捕并定罪创建并启动Downadup的黑客。微软上一次使用Downadup是在2004年。
西南航空公司没有立即发表评论。
本文由《Downadup蠕虫可能锤击西南航空URL 3月13日》原创发表《计算机世界》 .