安全研究人员不知道下周会发生什么,因为2009年最大的蠕虫Conficker的最新变种开始试图联系它的控制人员。
Joe Stewart是SecureWorks公司的恶意软件研究主管,也是著名的僵尸网络研究人员,他说:“在我们看到一些明确的盈利动机之前,是不可能知道的。”
Conficker.c是去年年底首次出现的蠕虫病毒的第三个版本,4月1日,感染了Conficker.c的电脑将使用一种新的通信方案,与由播撒恶意软件的黑客操作的命令控制服务器建立连接。斯图尔特说,这个日期被硬编码到蠕虫病毒中,反过来会对包括雅虎在内的一些主要网站进行调查。
这个策略仅仅是为了让安全研究人员很难弄清楚Conficker到底是什么,更重要的是,它可能会做什么。斯图尔特在谈到SecureWorks故意感染Conficker.c的机器时说:“我们必须欺骗它,让它认为它不仅返回了正确的页面,而且得到了4月1日的日期。”
“到目前为止,我们还没有看到任何证据(在那些机器上)表明它将在4月1日做什么,”斯图尔特补充说,尽管这是预料之中的。“现在还不是4月1日,所以他们不会把东西放到网上。事实上,我们试图寻找这些网站几乎是有风险的,因为它可能会泄露我们在他们的网络中有一些机器人。”
赛门铁克公司(Symantec Corp.)安全反应小组副总裁文森特•威弗(Vincent Weafer)同意斯图尔特的观点,他认为事先不可能知道Conficker的控制人员下周会采取什么手段。“没人知道。”威弗说。“目前还没有迹象表明4月1日它会做什么。”
Weafer将Conficker.c的更新描述为“保护和加固现有的感染”,并指出该变体不同于它的前辈,不能传播到其他电脑上。威弗说:“这种变体非常以防御为导向,让它不那么明显,但更有弹性。”
和Weafer一样,Stewart认为Conficker.c是蠕虫病毒制造者或制造者巩固已感染病毒的一种手段。“最大的问题是最终的结局是什么?”他说。“它有他们想要的那么大吗?”
他还指出,Conficker.c更倾向于复杂,支持Weafer的观点,即蠕虫制造者正试图为难研究人员和杀毒软件。
“这是一件非常奇怪的事情,”斯图尔特说。“(黑客们)比大多数人更有耐心,也更有条理。他们提高了标准,提高了很多,关于我们必须做什么来弄清楚它的作用,阻止它,清理它。
“这不是典型的网络犯罪,”他说。
Conficker,也被一些安全公司称为Downadup,于去年年底首次出现利用Windows漏洞微软(Microsoft Corp.)在2008年10月的紧急更新中打了补丁。2009年初,下一个版本——Conficker。b——感染了数百万台电脑再过几天。
这个故事,“Conficker的下一步行动对研究人员来说是个谜”最初发表于《计算机世界》 .