一家安全公司周二说,Conficker.c可能会成为世界各地的头条新闻,但大多数受感染的个人电脑位于亚洲和欧洲,在北美发现的总数不到6%。
通过对该蠕虫的点对点通信计划进行分析,IBM互联网安全系统(IBM Internet Security System)的X-Force团队上周找出了如何检测受Conficker最新变种困扰的机器,然后挖掘这些数据,在其地理分布上标出一张脸。
X-Force的威胁响应经理霍莉·斯图尔特(Holly Stewart)说:“很多人都报告了他们看到的感染情况,但我们现在真的没有看到谁被感染了。”
截至周一,45%受conficker .c病毒感染的电脑被追踪到亚洲的IP地址,另有31%被追踪到欧洲的IP地址。斯图尔特说,南美洲占总数的14%,只有5.8%的受感染电脑使用与北美有关的IP地址。
亚洲在疫区名单上占据主导地位并不令人意外。上周五,河内理工大学巴赫霍亚网络安全(Bach Khoa internet Security,简称Bkis)的首席技术官Nguyen Tu Quang表示,所有的矛头都指向中国。“几乎可以肯定Conficker起源于中国,”Nguyen在一封电子邮件中说。
c已经得到了大量的关注,特别是在上周,随着明天的临近。研究人员在本月早些时候首次发现了第三种变体,它将能够转换成这种变体一种新方法从4月1日开始订购。
早期版本的蠕虫每天生成250个可能的域列表,即恶意软件可以用于从其控制器路由指令,但Conficker.c每天曲柄为50,000个网址列表。大多数研究人员认为,上个月通过所谓的工作开始的直接回应Conficker阴谋- 正式称为Conficker工作组 - 一家专门集团的研究人员和公司,通过将蠕虫的“电话家庭”能力扰乱尽可能多的日常域来扰乱蠕虫的“电话家庭”能力。
斯图尔特说:“Conficker.c让研究人员很难破解通信密码。”他指的是这种蠕虫增强了点对点的技能,一些人认为,如果域路由系统遭到破坏,这种技能是添加到黑客总部的故障保护链接。c从一开始就使用它的点对点通信连接。
斯图尔特补充说:“如果你看一下线路上的简单信息,可能会被误认为是VPN流量。”“但我们的研究人员破解了他们使用点对点的方式。”利用这些信息,X-Force已经能够通过检测进出客户网络的流量中的蠕虫“指纹”,嗅出受conficker .c病毒感染的机器。
她说,被确认为Conficker.c的大量点对点传输来自X-Force客户网络之外。斯图尔特说:“我们确实发现了一些受感染的系统,并让这些客户知道了它们,但这在我们收集的聊天记录中只占很小的比例,不到0.0025%。”
她补充说,同样值得注意的是,Conficker的点对点流量正在上升。“从昨天到今天上涨了20%,”斯图尔特今天早上说。
但她承认,使用这种检测技术估计感染Conficker.c的电脑数量是不可能的,而且无法确定被早期变体Conficker感染的电脑的百分比。b,特别是已经更新到Conficker.c的,将是困难的。
X-Force的检测方法是过去两天的第二次公开。昨天,三人专家 - 德国研究人员蒂曼·韦尔纳和菲利克斯地区,美国研究员丹卡蒙斯基 -创建了一个扫描仪利用蠕虫的一个漏洞定位受感染的电脑。维尔纳和莱德周一晚些时候发表了一篇23页的论文,详细介绍了他们的发现。下载).
斯图尔特表示,X-Force的方法是“完全被动的”,不需要运行扫描仪。然而,它并没有向公众发布,而是集成在IBM互联网安全系统的入侵防御设备中。
即便如此,斯图尔特承诺会让每个人都知道。她承诺:“因为我们能够检测到这些(Conficker.c)通信,我们肯定会让公众和我们的客户知道。”“接下来的24小时应该会很有趣。”
这篇报道,“Conficker.c感染了少量的美国电脑,IBM说”最初是由《计算机世界》 .