Trend Micro identificeert nieuwe Conficker-variant: WORM_DOWNAD.E

Aanwijzingen voor grotere plannen door cybercriminelen achter Conficker-worm

Vianen,  9 april 2009 – Trend Micro heeft een nieuwe variant van Conficker ontdekt met de officiële naam WORM_DOWNAD.E. Deze activiteit geeft aan dat de cybercriminelen achter de beruchte Conficker-worm zich mogelijk klaarmaken voor serieuzere aanvallen. Tevens heeft Trend Micro vastgesteld dat DOWNAD of Conficker van dezelfde makers is als de Waledec- en Storm-wormen.

Onderzoekers van Trend Micro monitoren continu op Conficker-activiteiten en signaleerden toegenomen P2P-communicatie van de peer-nodes van Conficker, die hoogstwaarschijnlijk in Korea worden gehost. De nieuwe variant is gevonden in een Windows Temp-folder en is aangemaakt op 7 april 2009 om 19.41.21 (PDT).

De nieuwe variant WORM_DOWNAD.E gebruikt een willekeurige bestandsnaam en servicenaam, en maakt verbinding met de volgende websites:
- myspace.com
- msn.com
- ebay.com
- cnn.com
- aol.com

Als er verbinding is met het internet, verspreidt de worm zich ook via MS08-067 naar externe IP-adressen. Als er geen verbinding wordt gevonden, gebruikt de worm lokale IP-adressen. De worm verspreidt zich via kwetsbaarheden in het besturingssysteem.

Trend Micro adviseert internetgebruikers om altijd beveiligingssoftware te installeren en te updaten. Zo zijn ze beschermd tegen internetbedreigingen als deze. Conficker is snel, opereert ongemerkt en is lastig te identificeren.

Trend Micro blijft onderzoek doen naar Conficker en andere bedreigingen in het onderzoekslaboratorium TrendLabs. Updates kunnen gevonden worden op het Trend Micro-malwareblog: http://blog.trendmicro.com.