Twitter erliegt Wurm
Letztes Wochenende war bei Twitter die Hölle los. Ein Cross-Site-Scripting-Wurm, angeblich von einem gelangweilten 17-jährigen US-Amerikaner geschrieben, infizierte, überfiel, änderte und spamte auf der beliebtesten Microblogging-Plattform was das Zeug hielt. Viele Blogs informierten über diesen Zwischenfall und gaben Tipps, um sich vor der Infizierung des eigenen Twitter-Accounts bestmöglich zu schützen. Doch endlich sieht es so aus, als ob die Twitter-Admins die Lage wieder unter Kontrolle bekommen hätten.
Noch am Ostersonntag haben sie sich an die Arbeit gemacht und wollten die XSS-Lücke, über die der Wurm eingeschleust wurde, schließen. Allerdings konnten sich noch drei weitere Nachahmer für diese Idee begeistern und haben ebenfalls ihre eigenen Würmer auf Twitter verbreitet, die teilweise wie eine Anleitung zur Desinfizierung des Mikeyy-Wurms aufgemacht waren (How TO remove new Mikeyy worm!).
- 18.000 Twitterer haben diesen Tweet angeklickt
- 800 Klicks kamen aus Deutschland
- mehrere 100 Konten wurden manipuliert
- 10.000 Tweets mit Links zu infizierten Profilen wurden gelöscht
Um sicher zu gehen, dass das eigene Twitter-Profil nicht auch Opfer des Wurms geworden ist, bitten die Twitter-Betreiber die eigenen Angaben und Details zu überprüfen und notfalls rückgängig zu machen. Schützen kann man sich, indem man entweder das Java Script im Browser deaktiviert (beispielsweise NoScript für Firefox) oder einen Twitter-Client benutzt anstatt auf die webbasierte Option zurückzugreifen.
[via]
Conficker Reloaded
Vielen Millionen PCs weltweit sind von ihm befallen - der Conficker Wurm. Es existiert bereits die dritte Version des Schädlings im Netz, der täglich 50.000 Domainnamen temporär erstellt und auf 500 befallenen Servern seine Updates zwischenlagert. Doch am weitesten verbreitet ist immer noch die "B-Version", deren Algorithmus eine Generierung von "nur" 250 Domains pro Tag vorsieht.
Eine Koalition aus Microsoft und ICANN hat es geschafft, die Algorithmen des Conficker.B- und Conficker.C-Typs zu entschlüsseln. Aus dem Quellcode geht hervor, dass der Wurm am 1. April nach weiteren Updates suchen wird. Was der Wurm allerdings nachladen und ausführen wird, weiß niemand so genau. Viele Experten sind sich aber einig, dass
...am 1. April überhaupt nichts passieren wird.
Vielmehr ist man der Meinung, dass relevante Updates erst nach diesem angekündigten Stichtag ausgeführt werden sollen, um die Aufmerksamkeit der Computernutzer- und Experten abzuwarten.
Tools zum Entfernen des Conficker-Wurms können kostenlos hier heruntergeladen werden:
- W32.Downadup Removal Tool von Symantec
- F-Downadup von F-Secure
- Downadup Removal Tool von Bitdefender
- KidoKiller von Kaspersky
Informationen und Links von heise.de
Tools zum Entfernen des ConfickerWurms
Lange hat es gedauert, bis sich der Conficker Wurm als ernsthafte Bedrohung für die Computerwelt herausstellte. Einige Hersteller von Antivirensoftware haben nun ihre eigenen portablen Tools zum Entfernen des Wurms zum Download freigegeben. Es stellt sich bei diesen Applikationen die Frage, ob sie den Wurm sicher enfernen können und wenn ja, mit welchen Versionen sie umzugehen verstehen.
Wer sicher gehen möchte, kann entweder alle Versionen nacheinander die Festplatten des PCs auf den Wurm hin untersuchen lassen oder das Betriebssystem neuinstallieren. Werden alle Partitionen bzw. Festplatten gründlich formatiert, so ist der Wurm sicher gelöscht. Trotzdem ist noch Vorsicht geboten: der Wurm kann über das Internet oder durch infizierte Datenträger/Wechseldatenträger wieder auf das System gelangen.
- W32.Downadup Removal Tool von Symantec
- F-Downadup von F-Secure
- Downadup Removal Tool von Bitdefender
- Der Virendoktor; Vom richtigen Umgang mit (vielleicht) infizierten Systemen auf heise Security
Vorsicht: mutierender Conficker-Wurm
Der Conficker-Wurm grassiert nach wie vor noch in der gewaltigen Internetwelt und wurde jetzt einem Update unterzogen. Neuerdings soll er 50.000 Domains zum Empfang und Updaten eines neuen Codes kontaktieren - anstatt den bisherigen 250 Domains.Ferner unterstütz er weitere 116 Domain-Suffixes (eine ausführliche Auflistung aller länderspezifischen Suffixe gibt es hier).
Die Folge: die Abwehrmaßnahmen der Antivirenspezialisten und Programmierer, die sich gegen den Conficker-Wum verbündet haben, werden dadurch erheblich erschwert. Es ist nun kaum mehr möglich, die betroffenen Domains kurz nach ihrem Befall, zu blockieren. Ferner werden jetzt wohl auch weit mehr "legitime" Domains, die einer zufälligen Buchstabenkombination ähneln, dem Wurm zum Opfer fallen und die Seite mit unzähligen Anfragen exploitieren.
Eine weitere Neuerung ist der Abwehrmechanismus. Prozesse und Anwendungen, die die Wortbestandteile wireshark, unlocker, tcpview, avenger, autoruns, gmer, procexpl, downad oder confick etc. aufweisen werden beendet bzw. blockiert.
Eine einigermaßen gut umsetzbare Maßnahme, um dies zu verhindern wäre, die Prozessnamen bestimmter Antivirenprogramme in regelmäßigen Abstäden zu ändern. Dafür sollte die Software aber auch ohne Installation auskommen.
Die Spezialisten interpretieren dieses Verhalten so, dass die Wurmautoren sich nun weniger auf die Ausbreitung als auf die "Kontrolle" eines infizierten Systemes konzentrieren. Verständlich, denn wenn der Wurm keine Abwehrmechanismen gegen Antivirensoftware aufweisen kann, ist sein Fortbestehen extrem gefährdet. Da schafft auch eine Expansion des Wurms auf andere Netzwerke keine Abhilfe. Irgendwann ist der Zeitpunkt erreicht, wo auch Administratoren schlecht gesicherter Netzwerke Schutzbarrieren errichten.
Zum Glück hat der Wurm auch durch diese Updatemaßnahme noch keine konkreten Angriffsziele zugewiesen bekommen. Die Experten erwarten entweder einen massiven Versand von Spammails, Angriffe auf andere Netzwerke oder den Ausbau eines Fast-Flux-Netzes.
Hoffentlich wird die Antivirenbranche in kurzer Zeit ein Gegenmittel für diesen Parasiten finden.
Informationen
Kategorien
Blogroll
- bueltge.de
- Caschys Blog
- Der Software Blog
- Guruspage
- infoblog.li
- Peruns Weblog
- techspread
- virtual-maxim
- zweipunktnull
Buttons
