Conficker meldet sich zurück
Anfangs peilten die Experten den 1. April als Deadline für den Schlaf des Conficker-Wurms an. Die Tage verstrichen aber, ohne das sich der Wurm meldete. In der Nacht zum 8. April gab er dann endlich ein Lebenszeichen von sich: er pingte eine Peer-to-Peer-Webseite in Korea an, die ihm eine Datei zum Download bereitstellte. Vermutlich handelt es sich dabei um einen Keylogger oder um Spyware, die wichtige Daten und Passwörter ausspähen soll. Hinzukommt jetzt aber noch das schemenhafte Erscheinungsbild des Conficker-Wurms, das seine Anwesenheit auf einem infizierten PC verschleiern soll. Normalerweise ist man dieses Verhalten nur von Rookits gewohnt, die sich so tief in dem System vergraben, das sie weder über den TaskManager noch manuell beendet und gelöscht werden können. Abhilfe schaffen da nur bestimmte Rootkit-Remover.
Als "Feierabend" ist in dem Wurm der 3. Mai terminiert. Experten gehen davon aus, das der Wurm an jenem Tag seine Aktivität einstellen wird. Doch bis dahin wird er sich per Zufallsprinzip mit folgenden URLs verbinden:
- Myspace.com
- msn.com
- ebay.com
- cnn.com
- aol.com
Warum der Wurm sich mit eben diesen Adressen verbindet, ist nicht geklärt. Vermutet wird hier, dass er zum Einen die Internetanbindung des befallenen PCs prüft und zum anderen das Datum mit dem Server abgleicht. Eine neue Conficker-Variante steht indes schon in den Startlöchern. Sie wird momentan über das bestehende Zombie-Netzwerk verteilt.
Conficker Reloaded
Vielen Millionen PCs weltweit sind von ihm befallen - der Conficker Wurm. Es existiert bereits die dritte Version des Schädlings im Netz, der täglich 50.000 Domainnamen temporär erstellt und auf 500 befallenen Servern seine Updates zwischenlagert. Doch am weitesten verbreitet ist immer noch die "B-Version", deren Algorithmus eine Generierung von "nur" 250 Domains pro Tag vorsieht.
Eine Koalition aus Microsoft und ICANN hat es geschafft, die Algorithmen des Conficker.B- und Conficker.C-Typs zu entschlüsseln. Aus dem Quellcode geht hervor, dass der Wurm am 1. April nach weiteren Updates suchen wird. Was der Wurm allerdings nachladen und ausführen wird, weiß niemand so genau. Viele Experten sind sich aber einig, dass
...am 1. April überhaupt nichts passieren wird.
Vielmehr ist man der Meinung, dass relevante Updates erst nach diesem angekündigten Stichtag ausgeführt werden sollen, um die Aufmerksamkeit der Computernutzer- und Experten abzuwarten.
Tools zum Entfernen des Conficker-Wurms können kostenlos hier heruntergeladen werden:
- W32.Downadup Removal Tool von Symantec
- F-Downadup von F-Secure
- Downadup Removal Tool von Bitdefender
- KidoKiller von Kaspersky
Informationen und Links von heise.de
Tools zum Entfernen des ConfickerWurms
Lange hat es gedauert, bis sich der Conficker Wurm als ernsthafte Bedrohung für die Computerwelt herausstellte. Einige Hersteller von Antivirensoftware haben nun ihre eigenen portablen Tools zum Entfernen des Wurms zum Download freigegeben. Es stellt sich bei diesen Applikationen die Frage, ob sie den Wurm sicher enfernen können und wenn ja, mit welchen Versionen sie umzugehen verstehen.
Wer sicher gehen möchte, kann entweder alle Versionen nacheinander die Festplatten des PCs auf den Wurm hin untersuchen lassen oder das Betriebssystem neuinstallieren. Werden alle Partitionen bzw. Festplatten gründlich formatiert, so ist der Wurm sicher gelöscht. Trotzdem ist noch Vorsicht geboten: der Wurm kann über das Internet oder durch infizierte Datenträger/Wechseldatenträger wieder auf das System gelangen.
- W32.Downadup Removal Tool von Symantec
- F-Downadup von F-Secure
- Downadup Removal Tool von Bitdefender
- Der Virendoktor; Vom richtigen Umgang mit (vielleicht) infizierten Systemen auf heise Security
Vorsicht: mutierender Conficker-Wurm
Der Conficker-Wurm grassiert nach wie vor noch in der gewaltigen Internetwelt und wurde jetzt einem Update unterzogen. Neuerdings soll er 50.000 Domains zum Empfang und Updaten eines neuen Codes kontaktieren - anstatt den bisherigen 250 Domains.Ferner unterstütz er weitere 116 Domain-Suffixes (eine ausführliche Auflistung aller länderspezifischen Suffixe gibt es hier).
Die Folge: die Abwehrmaßnahmen der Antivirenspezialisten und Programmierer, die sich gegen den Conficker-Wum verbündet haben, werden dadurch erheblich erschwert. Es ist nun kaum mehr möglich, die betroffenen Domains kurz nach ihrem Befall, zu blockieren. Ferner werden jetzt wohl auch weit mehr "legitime" Domains, die einer zufälligen Buchstabenkombination ähneln, dem Wurm zum Opfer fallen und die Seite mit unzähligen Anfragen exploitieren.
Eine weitere Neuerung ist der Abwehrmechanismus. Prozesse und Anwendungen, die die Wortbestandteile wireshark, unlocker, tcpview, avenger, autoruns, gmer, procexpl, downad oder confick etc. aufweisen werden beendet bzw. blockiert.
Eine einigermaßen gut umsetzbare Maßnahme, um dies zu verhindern wäre, die Prozessnamen bestimmter Antivirenprogramme in regelmäßigen Abstäden zu ändern. Dafür sollte die Software aber auch ohne Installation auskommen.
Die Spezialisten interpretieren dieses Verhalten so, dass die Wurmautoren sich nun weniger auf die Ausbreitung als auf die "Kontrolle" eines infizierten Systemes konzentrieren. Verständlich, denn wenn der Wurm keine Abwehrmechanismen gegen Antivirensoftware aufweisen kann, ist sein Fortbestehen extrem gefährdet. Da schafft auch eine Expansion des Wurms auf andere Netzwerke keine Abhilfe. Irgendwann ist der Zeitpunkt erreicht, wo auch Administratoren schlecht gesicherter Netzwerke Schutzbarrieren errichten.
Zum Glück hat der Wurm auch durch diese Updatemaßnahme noch keine konkreten Angriffsziele zugewiesen bekommen. Die Experten erwarten entweder einen massiven Versand von Spammails, Angriffe auf andere Netzwerke oder den Ausbau eines Fast-Flux-Netzes.
Hoffentlich wird die Antivirenbranche in kurzer Zeit ein Gegenmittel für diesen Parasiten finden.
Informationen
Conficker B++
Der Conficker Wurm hat jetzt eine Art "starken Bruder" an seiner Seite. Der Conficker B++ wurde um einige Routinen erweitert, die es ermöglichen, neue Schadsoftware auf ein infiziertes System einzuschleusen und die PCs zu kontrollieren. Theoretisch sind damit beispielsweise
- Denial-Of-Service-Attacken
- Spam-Versand
- und Spionage-Attacken
ausführbar. Die Sicherheitsunternehmen um Microsoft, das auf die Autoren des Conficker Wurms ein Kopfgeld ausgesetzt hat, suchen derzeit noch nach Methoden, um dem Wurm eine Kommunikation/Synchronisation mit dem "Befehlssystem" zu verwehren.
Die einfachste Möglichkeit sich vor dem Befall zu schützen ist es, sein Windowsbetriebssystem immer auf dem aktuellsten Stand zu halten. Denn: die meisten Infektionen sind durch ein veraltetes und "verbugtes" Betriebssystem erst möglich geworden.
Kategorien
Blogroll
- bueltge.de
- Caschys Blog
- Der Software Blog
- Guruspage
- infoblog.li
- Peruns Weblog
- techspread
- virtual-maxim
- zweipunktnull
Buttons
