不同HTTP黑洞服务器的设立者提供的被感染主机的数据格式有所不同，一般来说通用的数据包括时戳和源IP地址，有些组织同时记录了目的IP地址。此外，由于大量的主机是通过NAT或者HTTP代理访问HTTP黑洞服务器，黑洞服务器只能获取到代理服务器主机的地址，因此有些组织还提供了源端口信息，以帮助这些主机的管理者(企业或网络服务提供商)结合防火墙或代理日志来分析究竟是哪些主机被感染。

　　目前提供Conficker数据的安全组织包括：
　　Arbor Networks, ATLAS SRF (http://atlas.arbor.net/)
　　Shadowserver Foundation Conficker Reports (http://www.shadowserver.org)
　　Team Cymru (http://www.team-cymru.org/)
　　ISC Security Information Exchange (SIE)(https://conficker.sie.isc.org)
　　Support Intelligence, Inc. (http://support-intelligence.com/)
　　这些组织的信息都免费向企业提供，但为隐私考虑，企业获取数据前必须向这些组织证明自己的身份。

　　超越国界的应对手段

　　相对于传统的基于IP地址的集中式控制模式，Conficker蠕虫采用了更为灵活的基于DNS的控制模式，Conficker也相应向域名服务商提出了协同建议。

　　Conficker的A/B变种代码中内嵌了250个域名作为控制主机的候选对象，而Conficker蠕虫的C变种代码根据日期每天随机生成50000个域名作为候选对象，并且选择了只有4-9字符长的短域名来使域名看起来更正常。这些域名总共涉及到国家代码顶级域名(ccTLD，country code Top Level Domain)空间中的116家域名注册机构，Conficker工作组和这些域名注册服务机构都一一进行了联系，对可能被Conficker蠕虫注册的域名进行处理。

　　由于Conficker蠕虫的域名生成采用了随机算法，因此这些域名有可能和合法机构注册的域名相冲突，一般说来，Conficker蠕虫相关的域名可能有以下四种情况：
　　被Conficker蠕虫制造者注册；
　　是一个合法注册的域名；
　　被安全组织注册用来建立HTTP黑洞服务器；
　　被其他黑客注册，试图用来抢夺Conficker蠕虫控制的僵尸网络。
　　根据不同的情况，Conficker工作组也提出了以下方法来鉴别该域名可能所属的类别：
　　域名注册的时间
　　注册人注册的其他域名是否属于Conficker蠕虫使用的域名
　　该域名的类型是记录还是NS记录。

　　根据最终判断注册人的类型，域名注册机构将采取不同的应对手段：Conficker制造者和其他黑客注册的域名会被移除，安全组织和合法注册的域名将会被继续保留。Conficker工作组在ShadowServer建立了一个邮件列表提供Conficker蠕虫相关的信息(http://shadowserver.org/mailman/listinfo/conficker-dns)。

　　蠕虫、僵尸网络和木马网络的威胁已经成为跨越国界和地方法律的一种全球威胁，在此情况下，仅仅依靠地方应急响应组织或一两个企业都无法应对这种全球威胁。Conficker工作组的意义不仅仅在于全球协同应对Conficker蠕虫，Conficker工作组是全球组织和企业联合响应全球范围的安全威胁的一次实际演练，为如何建立国际性的协同响应机制，包括联络、通信、数据共享服务等等做出了一次新的尝试。

　　来源：《中国教育网络》2009年6月刊