W32.Downadup.E技术特点分析

    近期备受关注的W32.Downadup病毒已出现最新变种W32.Downadup.E。赛门铁克在最近截获的新变种样本中分析到以下新的技术特点：  

• W32.Downadup.E修改系统驱动文件“tcpip.sys”，使病毒可利用受感染的计算机同时建立更多的网络连接，以攻击更多的计算机。

• W32.Downadup.E利用SMB协议获取目标计算机的系统信息，以更有针对性的对计算机进行攻击，提高成功机率。

• W32.Downadup.E启用5114端口，利用该端口建立HTTP服务器。该服务器可能被用作下载恶意代码的通道。

• W32.Downadup.E继续使用UPnP架构，并利用路由器漏洞从外部控制被感染的计算机。

• W32.Downadup.E变种被重新加入利用MS08-067漏洞的恶意代码。该代码曾被用于W32.Downadup.B变种中，不过W32.Downadup.C变种将其移除，这次我们发现该代码又被重新加入W32.Downadup.E中。

• W32.Downadup.E重新使用另一批网站来获取目标计算机的IP地址。

• W32.Downadup.E可能与W32.Waledac存在关联：我们发现有两个名字相似的文件在受感染计算机的\Windows\temp文件夹中先后出现 — 484528750.exe 和484471375.exe。 这两个文件其实就是W32.Waledac和W32.Downadup.E病毒文件。而这两个病毒之间可能存在某种关联 ，即W32.Downadup.E被用作传播W32.Waledac病毒。W32.Waledac病毒可盗取用户计算机中的机密信息，并将计算机感染为傀儡计算机用以发送垃圾邮件，或在计算机中开启后门等。若W32.Downadup.E将W32.Waledac大规模传播，将给计算机用户带来极大的安全威胁。

• W32.Downadup.E设定在2009年5月3日将自己从受感染的计算机中移除。这个特性在之前的变种中从未被发现过。

      赛门铁克安全产品的启发式技术能够及时对新病毒进行分析与检测。同时，赛门铁克已发布针对W32.Downadup.E的最新安全定义。已升级至最新病毒定义库的赛门铁克安全产品可有效监测病毒，或将病毒从受感染的计算机中移除。我们建议用户养成使用互联网的好习惯，包括及时安装系统补丁，升级安全软件病毒定义库，并在使用互联网时提高警惕，不要轻易打开或运行可疑文件，将安全风险降至最低。