“惊人的”蠕虫攻击感染了900万台PC
调用范围"惊人,"F-Secure Corp.的安全研究人员今天说,已经有650万台Windows PC被该病毒感染。"Downadup" worm in the last four days, and that nearly 9 million have been compromised in just over two weeks.
周五早些时候,这家芬兰公司修改了对成为蠕虫病毒受害者的计算机数量的估计,并解释了其数字。 F-Secure研究人员Toni Koivunen在公司安全实验室博客的一篇文章中说:“ Downadup感染的数量正在激增。” “在过去四天内,从估计的240万台受感染的计算机到890万台以上。这真是令人惊讶。”
周二,Koivunen估计受感染的系统数量为240万,然后在周三将估计数量更新为350万,在短短24小时内增加了110万。
F-Secure首席研究官Mikko Hypponen在一封电子邮件中对问题进行了答复,他说:“多年来,我们从未见过这种规模的爆发。”他补充说:“ [它]使我想起了Loveletter / Melissa / Sasser / Blaster的旧案件,”他列举了一些历史上最大的恶意软件攻击。
Downadup(也称为“ Conficker”)利用Windows 2000,XP,Vista,Server 2003和Server 2008使用的Windows Server服务中的错误。根据另一家安全公司Qualys Inc.的说法,在10月下旬更新了“周期”更新,大约三分之一的PC尚未打补丁。这些PC是蠕虫所劫持的PC。
F-Secure的Koivunen在周五的博客中也提供了该公司估值的一些背景信息,部分原因是有人对此数字表示怀疑。根据Koivunen的说法,F-Secure通过监视蠕虫与黑客控制的服务器的通信,得出了890万台计算机的估计值。
将其安装到PC上后,Downadup会生成可能域的列表,选择一个域,然后使用该URL到达恶意服务器,并从该服务器下载其他恶意软件以在被劫持的计算机上安装。但是,F-Secure已注册了其中一些域,并能够通过这些URL监视流量。
通过检查与域的连接尝试日志,F-Secure发现了数十万个不同的IP地址(到今天为止已超过350,000个),并且在每个IP地址中都嵌入了一个计数器,该计数器可以阐明受感染机器具有的其他PC数量妥协。
Koivunen解释说:“因此,这个数字告诉我们,自从上次重新启动以来,该计算机已经利用了多少台其他计算机。” F-Secure提供的示例日志显示,有12台Downadup感染的PC,总共感染了186个其他系统。仅一台最初受感染的计算机成功攻击了其他116台计算机。
Koivunen说:“我们编写了一个程序来解析日志,提取IP / User-Agent对的最高值,然后将其加在一起得出我们的数据。” “正如您现在所看到的,它们非常保守。”
本周早些时候,Downadup感染数量已经很高,促使微软在其恶意软件删除工具(MSRT)中增加了对该蠕虫的检测,该工具是该公司每月更新并重新分发给Windows计算机的反恶意软件实用程序。微软上周二发布了具有反Downadup功能的最新版MSRT。
像其他安全研究人员一样,来自Microsoft的人员也将责任归咎于用户缓慢修补PC。微软公司的一对安全研究人员周二说:“要么根本没有安装安全更新MS08-067,要么没有安装在所有计算机上。”
微软建议Windows用户安装 紧急更新,然后运行 MSRT(恶意软件删除工具) 从受感染的计算机中清除蠕虫。