Die Trend Micro-Experten beobachten genau jegliche Anzeichen von Downad/Conficker-Aktivitäten. Dabei haben sie eine steigende P2P-Kommunikation zwischen den Downad/Conficker Peer Nodes, die vermutlich in Korea gehostet werden, festgestellt. Die im Windows-Temporarverzeichnis gefundene Datei wurde am 7. April um 16 Uhr 41 Minuten 21 Sekunden MESZ erstellt.
Die neue Variante WORM_DOWNAD.E ist unter einem zufallgenerierten Datei- und Servicenamen aktiv und baut Verbindungen zu den Sites myspace.com, msn.com, ebay.com, cnn.com und aol.com auf. Der Wurm verbreitet sich ferner über MS08-067 an externe IT-Adressen, falls eine Verbindung zum Internet besteht. Steht diese nicht zur Verfügung, nutzt der Wurm lokale IP-Adressen. Downad.E versucht des Weiteren eine zusätzliche verschlüsselte Datei von einer Domäne herunterzuladen, die in Verbindung zu der Waledac Schadsoftware steht. Da die Autoren von Waledac auch für die Storm Malware, die im letzten Jahr gewütet hat, verantwortlich sind, lässt sich vermuten, dass die Autoren von Downad/Conficker, Waledac und Storm identisch sind oder zusammenarbeiten.
Interessanterweise stoppt der Schädling seine Aktivitäten am 3. Mai, also ist davor mit neuen Varianten zu rechnen.
Downad/Conficker verbreitet sich über Schwachstellen in den Betriebssystemen.
Internet User sollten daher dringend ihre Sicherheitssoftware aktualisieren, um ihre PCs vor Web Threats wie Downad/Conficker zu schützen.
Weitere Informationen sind im Malware Blog von Trend Micro unter http://blog.trendmicro.com/... abrufbar.