Conficker演讲在Black Hat进行了消毒以保护调查

拉斯维加斯-国际安全团队 追踪Conficker 据努力消灭这种有弹性蠕虫的一位领导人说,他认为它背后的策划者现在应该已经被捉住了。

参加关于Black Hat最臭名昭著的事件的测验

但这并不是解决问题的方法,昨天在黑帽的一次演讲必须缩减,因为它包含了有关Conficker的信息,这些信息可能会提示调查员的手并将犯罪者送往更深的地下, 米科·海波宁,F-Secure首席研究官, Conficker工作组

Hypponen在六个月前为Black Hat简报提交摘要时,他认为他正在对死虫进行法医鉴定,编写和管理该虫的团队将无法工作。

Hypponen在谈话后接受采访时说:“我曾希望,到7月底,我们将处在完全不同的情况下,此案将结案,该团体将入狱。”

他的官方说法是,他上周被要求不要透露可能有助于延长Conficker统治时期的关键信息 数百万台计算机 并阻止正在进行的刑事调查。 Hypponen在他的黑帽会议结束时说:“所以我将在这里结束我的演讲。” “非常感谢你。我不会有任何问题。”

Hypponen之后表示,他并没有被迫削减自己的言论(Black Hat一直是众多语音阻塞和语音阻塞尝试的站点,包括一名研究员 思科系统公司起诉 因为他是为了揭示公司的IOS​​代码中的缺陷)。而是,海波宁(Hypponen)已经意识到,将工作组发现的某些问题保留下来是合理的。

他说:“最好不要让他们知道已知的事情。”

鉴于Conficker改变其策略的敏捷性和精确性,Hypponen并不排除Conficker工作组本身可能已经渗透到Conficker工作组中。

他不会说他认为当局将这个组织推倒有多接近,但他确实表示有迹象表明该组织位于乌克兰。 Conficker中使用的某些技术与早期蠕虫中使用的技术相匹配,这可能意味着同一个人位于这两种蠕虫的背后。

Hypponen说,早期的蠕虫避免了传播到乌克兰的机器,这可能意味着该组织驻扎在乌克兰,并试图避免犯下当地的罪行,以使乌克兰警方不为所动。

Hypponen在演讲中概述了Confickter的某些技术水平。在一个版本更改中-蠕虫经历了五个主要修订-蠕虫采用了MD-6密码哈希算法。研究人员估计,将MD-6纳入Conficker时仅一个月左右,这使该蠕虫成为最早的MD-6实现形式之一。

他说,Conficker的下一个主要版本修补了MD-6缓冲区溢出漏洞,该漏洞已在大约六周前公开宣布,这意味着犯罪分子将自己与最新进展保持同步。 (他们使用的补丁与MD-6创建者发布的补丁相同。)

该蠕虫避免将自己发送到Conficker工作组成员所拥有的域中,并禁用受感染的计算机,以使它们无法到达可能寻求帮助的站点。 Hypponen的公司建立了一个帮助站点,该站点的域名不同于其常规商业站点的域名,其中包括F-secure一词,而下一版的Conficker阻止了该站点。他说,该公司将术语Fsecure更改为不带连字符,而下一次修订也阻止了该操作。

Hypponen说,该蠕虫一直在传播到八个顶级Internet域,并且工作组召集了足够的合作以将其关闭在所有这些域中。他说,下一个版本传播到116个域。

他说:“这些人在密码学和代码开发方面非常出色,”但是考虑到他们的注意力,他们的策略也许就不太好。 “他们不知道要比几天内感染一千万台计算机更好。”他说,任何僵尸网络的目标都应该保持隐藏,而不是引起人们的注意。

“他们可能在其他犯罪行业中有经验,但之前没有运行过僵尸网络。如果他们更有经验,他们会更了解。”

Hypponen说,Conficker帮派放弃其当前的僵尸网络并建立一个不会变得太大而又不会吸引专家的新僵尸网络是有道理的。他说:“也许他们已经有了。”

这个故事“在黑帽(Black Hat)消毒了Conficker谈话以保护调查”最初是由 网络世界.

有关:

版权© 2009 IDG通讯,Inc.

  
在亚马逊上购买技术产品