-
Nach den Computern der Kärntner Landesregierung hat der Conficker-Wurm auch die PCs der Kärntner Krankenanstaltengesellschaft KABEG in mindestens drei Spitälern befallen. Wie bei der Landesregierung sind auch dort rund 3000 Rechner betroffen. Im Unterschied zur Landesregierung sollen die Krankenhaussysteme allerdings das einschlägige Sicherheitsupdate bereits zuvor installiert gehabt haben. Ein weiterer Unterschied ist, dass es dem Wurm gelungen sein soll, weitere Schädlinge auf die befallenen Spitals-Computer zu laden.
Unbestätigten Informationen zufolge soll Conficker über einen Laptop in das KABEG-Netzwerk eingesickert sein. Von dem Laptop aus soll er sich auf tausende gemeinsam genutzte Verzeichnisse verteilt haben, die nicht mit Passwörtern gesichert sind. Der Grund für die mangelhafte Absicherung soll darin liegen, dass die Krankenhäuser verschiedene medizinische Geräte einsetzen, die Daten übermitteln, aber nicht mit Passwörtern für die Verzeichnisse umgehen können. Um den reibungslosen Betrieb zu ermöglichen, wurde daher auf die Einrichtung eines Kennwortschutzes verzichtet, was sich nun als teurer Fehler erwiesen hat. Andere Quellen sprechen von einem USB-Stick als Ausgangspunkt der Infektion. Bisweilen sollen Patienten ihre Befunde auf solchen Speichermedien mitbringen.
Beide betroffenen Betriebe haben die Kärntner Firma Net-Solutions mit der Entwurmung beauftragt. Net-Solutions ersetzt den bisher genutzten Virenscanner, der den Conficker-Wurm nicht erkannt hat, durch einen erfolgreicheren Scanner. Auf den Einsatz des Microsoft Windows-Tools zum Entfernen bösartiger Software (MRT) wird allerdings verzichtet. Denn diese Software, die verbreitete Schädlinge bekämpfen soll, hat bisweilen zu neuerlichen Sicherheitsalarmen geführt. Genau wie der Conficker-Wurm versucht sie nämlich, auch gemeinsam genutzte Verzeichnisse zu scannen, ohne die Passwörter zu kennen. Die fehlgeschlagenen Login-Versuche tauchen dann im Sicherheitsprotokoll auf.
"Das größte Problem mit Conficker ist, dass er Betriebsunterbrechungen verursacht. Das kostet die betroffenen Betriebe viel Geld", erläuterte Net-Solutions-Geschäftsführer Wolfgang Frei gegenüber heise online, "Der Wurm versucht sich im Netzwerk zu verbreiten und probiert dazu eine Reihe bestimmter Passwörter durch. Nach einigen Fehlversuchen werden die Accounts aufgrund des notwenigen Passwortschutzes automatisch gesperrt. Binnen Minuten können hunderte Mitarbeiter nicht mehr auf ihre Computer zugreifen."
Doch Conficker ist keineswegs ein spezifisch kärntnerisches Problem. So soll es in dem südlichen Bundesland Österreichs auch einen großen Möbelhändler erwischt haben und auch eine Privatbank in Wien soll betroffen sein. Aus Bulgarien wurden Infektionen der Systeme von Innenministeriums, Polizei und Grenzpolizei gemeldet.
Conficker versucht, von einer Liste pseudozufälliger Domains Updates herunterzuladen. Symantec konnte diese Routine auswerten und entsprechende Domains registrieren. Auf dem dahinter aufgesetzten Server wurden innerhalb eines 72-Stunden-Zeitraums Zugriffe von über 600.000 IP-Adressen verzeichnet, wie Symantec am 6. Januar mitteilte. Hinter einer IP-Adresse können auch tausende infizierte Rechner stecken. Die meisten anfragenden Systeme liefen unter Windows XP ohne Servicepack oder mit Servicepack 1, gefolgt von Windows XP mit Servicepack 2 oder 3. Andere Windows-Varianten haben demnach nur einen geringen Anteil.
Die A-Variante von Conficker hatte sich laut Symantec in den zwei Monaten vor dem 9. Januar insbesondere auf dem indischen Subkontinent verbreitet, während die B-Variante speziell in den USA zahlreiche Systeme infiziert hatte.
Quelle : www.heise.de
-
<Die meisten anfragenden Systeme liefen unter Windows XP ohne Servicepack oder mit Servicepack 1, gefolgt von Windows XP mit Servicepack 2 oder 3.>
Wie immer ....
-
Nach Schätzungen des Antivirenherstellers F-Secure hat der Windows-Wurm Conficker alias Downadup bereits rund 2,5 Millionen PCs infiziert. Da der Wurm die Fähigkeit zum Nachladen von Code habe, sei demnächst wahrscheinlich mit einem größeren Botnetz zu rechnen. Von welchen Domains der Wurm den Code nachlädt, bestimmt er laut F-Secure über einen komplizierten Algorithmus. Dabei generiere er viele verschiedene mögliche Domainnamen, sodass ein Sperren aller kaum möglich sei.
F-Secure hat nach eigenen Angaben aber einige Domains vorab selbst registriert und beobachtet, wieviel infizierte Maschinen die Domains aufrufen. Damit sei zwar auch die Kontrolle über die Maschinen möglich, bis hin zum Desinfizieren, aus rechtlichen Gründen greife man aber nicht auf die PCs zu.
Viele der Domain-Aufrufe kämen aus Unternehmensnetzwerken, bei denen man aufgrund der Adressumsetzung mit NAT nur eine einzige IP-Adresse sehe. Dahinter könnten aber in Wirklichkeit mehrere tausend infizierte PCs stehen. F-Secure hat in einem Blog-Eintrag die Aufrufe der Domains nach Ländern aufgeschlüsselt.
Aktuell sind drei Varianten des Conficker-Wurms unterwegs. Die B- und C-Varianten sollen nicht nur die RPC-Sicherheitslücke in Windows ausnutzen, sondern zudem versuchen, in Systeme mit einem schwachen Administrator-Passwort einzudringen. Dazu probieren sie eine Liste bestimmter Passwörter durch. Darüber hinaus verbreitet sich der Wurm auch über USB-Sticks. Schutz vor dem Wurm bietet also nicht nur die Installation des Sicherheits-Updates von Microsoft, zusätzlich sollten Administratoren auch schwache gegen starke Passwörter auswechseln.
Zuletzt wurde bekannt, dass der Wurm Computer der Kärntner Landesregierung und die PCs der Kärntner Krankenanstaltengesellschaft KABEG in mindestens drei Krankenhäusern befallen hatte.
[Update]Zusammen mit den gestern veröffentlichten Sicherheits-Updates für eine neue Lücke in Windows verteilt Microsoft eine aktuelle Version des Malicious Software Removal Tool, das den Wurm erkennen und eliminieren soll.[/Update]
Quelle: www.heise.de (http://www.heise.de)
-
Innerhalb eines Tages ist Zahl der von F-Secure geschätzten Infektionen mit dem Conficker-Wurm um mehr als eine Million Rechner gestiegen. Der Wurm breitet sich auch innerhalb von Unternehmensnetzwerken weiter aus.
Malware-Forscher des finnischen Antivirusherstellers F-Secure haben noch am Dienstag eine als "konservativ" bezeichnete Schätzung veröffentlicht, nach der etwa 2,4 Millionen Rechner weltweit mit dem Wurm "Conficker" (oder auch "Downadup") infiziert seien. Einen Tag später beläuft sich die aktualisierte Schätzung bereits auf mehr als 3,5 Millionen PCs. Es müssten demnach also innerhalb eines Tages mehr als eine Million Neuinfektionen hinzu gekommen sein.
Die Schätzungen von F-Secure basieren unter anderem auf der Ermittlung von IP-Adressen, von denen verdächtige Aktivitäten ausgehen, die sich dem Conficker-Wurm zuordnen lassen. Dabei haben die Forscher festgestellt, dass viele der IP-Adressen zu teilweise großen Unternehmensnetzwerken gehören, die aus etlichen hundert oder gar mehreren tausend Rechnern bestehen können. Zusammen mit weiteren, nicht näher bezeichneten Methoden gelangt Toni Koivunen von F-Secure zu dem im Blog des Unternehmens veröffentlichten Zahlen.
Unterdessen hat Microsoft den Kampf gegen Conficker/Downadup aufgenommen. Beim ersten Patch Day in diesem Jahr hat Microsoft sein Anti-Malware-Tool in einer neuen Version bereit gestellt, die neben dem Trojanischen Pferd "Win32/Banload" auch bekannte Varianten des Conficker-Wurms entfernen soll. Dieser schützt seine Dateien mit allerlei Tricks, die ihm laut Cristian Craioveanu und Ziv Mador vom Microsoft Malware Protection Center jedoch nichts nützen sollen.
Der Wurm verbreitet sich über eine von Microsoft in dem außerplanmäßigen Security Bulletin MS08-067 behandelte Sicherheitslücke im Server-Dienst aller Windows-Versionen. Außerdem nutzt er Wechseldatenträger wie USB-Sticks und Netzwerkfreigaben mit schwachen Passwörtern zur Verbreitung, vor allem in lokalen Netzwerken. Er schützt seine Dateien, indem er die Zugriffsrechte darauf für alle Benutzer sperrt. Nur das lokale Systemkonto hat Zugriff. Außerdem werden die Dateien, wenn die Malware aktiv ist, durch einen Sperrmechanismus ("Lock") für geöffnete Dateien vor Löschversuchen geschützt.
Microsofts "Windows-Tool zum Entfernen bösartiger Software" soll trotz dieser Tricks alle Wurmdateien finden und entfernen können. Als Alternative kommen kostenlos erhältliche Boot-CDs mit Virenscanner in Frage, wie zum Beispiel das täglich aktualisierte "Avira AntiVir Rescue System" oder die "F-Secure Rescue-CD".
Quelle und Links : http://www.pcwelt.de/start/sicherheit/virenticker/news/190943/eine_million_neu_infizierter_pcs_in_24_stunden/
-
Den "Server-Dienst aller Windows-Versionen" finde ich auf meinem '98SE "leider" nicht.
Hab' ich jetzt 'was verpasst???
-
Nach Angaben von F-Secure sollen mittlerweile neun Millionen Windows-PCs mit dem Conficker-Wurm infiziert sein. Da die bislang gemeldeten hohen Zahlen von vielen angezweifelt wurde, hat F-Secure die Methode der Zählung in seinem Blog veröffentlicht. Demnach hat der Antivirenhersteller mehrere der 250 täglich von Wurm kontaktierten Domains registriert und protokolliert die Verbindungen mit. Dabei zählt F-Secure alle eindeutigen IPs mit.
Zudem soll der Wurm bei seinen Aufrufen der Domains die Zahl der von ihm bislang erfolgreiche inifzierten anderen Systeme im HTTP-Header übertragen ("GET /search?q=29 HTTP/1.0"). Die Informationen vermengt F-Secure mit weiteren Daten und kommt schließlich auf die nach eigener Meinung sehr konservative Schätzung von rund neuen Millionen PCs (Stand Freitag, 16. 1.). Täglich sind bislang jeweils mehrere hunderttausend hinzugekommen.
Wieviel Rechner nun aber wirklich infiziert sind, weiß kein Mensch. Zudem ist schwer zu erklären, warum gerade der Conficker-Wurm so erfolgreich sein soll. Immerhin gibt es seit rund drei Monaten einen Patch zum Schließen der Windows-Lücke, über die er eindringt.
Allerdings verbreitet er sich nicht nur über eine ältere Lücke in Windows, sondern auch über Netzwerkshares. Dabei macht er sich offenbar mit einem schwachen Passwort geschützte Administratoren-Konten zunutze. Darüber hinaus befällt er auch USB-Sticks. Schließt man einen infizierten Stick an den Rechner, so fragt der Rechner zwar nach der gewünschten Aktion, statt den Wurm gleich zu starten. Allerdings soll der Wurm nach Angaben des Internet Storm Center dem Anwender dabei durch nachgemachte Icons zum Klick auf die Start-Option bringen können (Bild siehe hier).
Gegenüber britischen Medien gab der Anti-Bot-Dienstleister Damballa an, er habe nur rund 500.000 IP-Adresse beobachtet. Dies würde bedeuten, dass im Durchnitt hinter jeder Adresse 18 weitere, durch einen NAT-Router versteckte PCs stünden. Eine Zahl, die man für unwahrscheinlich halte. Auch SecureWorks hält die Zahl für fraglich, da nicht auszuschließen sei, dass infizierte PCs mehrfach gezählt würden. Gerade bei DSL-Anschlüssen taucht ein infizierter PC über einen gewissen Zeitraum mit mehreren Adressen auf. Bislang soll Conficker aber hauptsächlich Unternehmensnetzwerke von innen befallen haben, etwa durch infizierte Laptops.
Quelle : www.heise.de
-
Auf zahlreichen Kriegsschiffen der britischen Royal Navy sorgt einem BBC-Bericht zufolge ein Computer-Wurm für Beeinträchtigungen. Ob es sich um den Windows-Wurm Conficker handelt, schreibt die BBC nicht, allerdings gibt es Hinweise, die seine Beteiligung vermuten lassen. Neben der Royal Navy sollen auch Basen der Royal Air Force (RAF) und der Armee vom Wurmbefall betroffen sein, der unter anderem zum Ausfall der E-Mail geführt haben soll. Nach Angaben des Verteidigungsministeriums habe der Schädling aber nicht versucht, wichtige militärische oder persönliche Daten auszuspähen. Man arbeite an der Desinfektion der Systeme.
Derzeit untersucht man nach Angaben der BBC noch, wie der Schädling in die PCs eingedrungen ist und woher er stammt. Einige infizierte Mails sollen allerdings von einem russischen Server stammen. Offizielle Stellen wollten aber die russische Regierung als Verursacher nicht bestätigen. Zudem soll es sich nicht um einen gezielten Angriff handeln.
Im November 2008 hatte bereits die US-Armee mit einem Computerwurm zu kämpfen, der sich über mobile Datenträger wie USB-Sticks verbreitete und sogar Militärbasen in Afghanistan befiel. Daraufhin hatte der Befehlshaber deren Nutzung bis auf Weiteres untersagt.
Quelle : www.heise.de
-
Microsofts Anleitung zur Deaktivierung der Autorun-Funktion unwirksam
Das US-CERT hat einen "Technical Cyber Security Alert" veröffentlicht, der auf Probleme beim Abschalten der Autorun/AutoPlay-Funktion von Windows hinweist. Offenbar deaktiviert der von Microsoft beschriebene Weg über das Konfigurieren der Registry-Schlüssel Autorun und NoDriveTypeAutorun die Autorun- und AutoPlay-Funktionen nicht vollständig. Mit vollständig deaktivierten Funktionen würde weder ein Programm auf einem mobilen Gerät beim Anschluss starten, noch würde der AutoPlay-Dialog mit Vorschlägen für weitere Schritte aufpoppen.
Der gerade kursierende Wurm Conficker profitiert mehreren Berichten zufolge von der Fehlkonfiguration der Autorun- und AutoPlay-Funktion, um Anwender beim Anschluss eines infizierten USB-Sticks zu überlisten und zum Start des Schädlings zu bewegen. Dabei präsentiert der Wurm in der AutoPlay-Anzeige nach dem Anschließen eines infizierten USB-Sticks ein gefälschtes Icon, um Anwendern vorzugaukeln, sie würden beim Klicken einen Ordner öffnen. Stattdessen startet jedoch der Wurm.
Microsoft hat den Fehler bestätigt und auf einen seit März 2008 verfügbaren Knowledgebase-Artikel hingewiesen, der die Schwachstelle bereits beschreibt. Dort sind auch Links zu Updates für Windows 2000, XP und Server 2003 enthalten, die den Fehler korrigieren und die richtigen Schlüssel setzen. Laut US-CERT soll der Fehler in Vista und Server 2008 bereits mit dem Update MS08-038 behoben worden sein. Das US-CERT hat in seinem Bericht einen eigenen Workaround zur Behebung des Problems veröffentlicht.
Quelle : http://www.heise.de/newsticker/Microsofts-Anleitung-zur-Deaktivierung-der-Autorun-Funktion-unwirksam--/meldung/122162
-
Bisher hat der Conficker-Wurm nicht mehr getan, als sich zu vermehren. Das aber kann er so gut, dass die Warnungen davor immer schriller werden: Eine Epidemie sei das, der größte PC-Virenbefall seit Jahren. Weil er auch einer der unnötigsten ist, gerät einmal mehr Microsoft in die Kritik.
Anfang der Woche erntete das finnische IT-Sicherheitsunternehmen F-Secure, Entwickler von Antiviren-Software, weltweit Schlagzeilen mit der Nachricht, der bereits seit November 2008 bekannte Conficker-Wurm verbreite sich immer schneller, habe mittlerweile fast zehn Millionen Rechner befallen. Am Donnerstag legte der F-Secure-Konkurrent Panda Security, auch bekannt als PandaLabs, noch ein Scheit auf und veröffentlichte eine Statistik, wonach rund sechs Prozent aller Windows-PCs von dem Wurm befallen seien.
Das wäre eine Menge Holz: Seit 1999 werden alljährlich mehr als 100 Millionen neue PCs verkauft, über den Gesamtbestand gibt es wild divergierende Schätzungen. Die sind sich zumindest darin einig, dass man hier über eine Zahl zwischen einer und 1,5 Milliarden Maschinen spricht, von denen aktuell rund 89 Prozent unter Windows laufen. Wenn Panda recht hätte, wären demnach aktuell nicht zehn, sondern mehr als 50 Millionen PCs verseucht.
Die sechs Prozent, kommentierten umgehend IT-Sicherheitsexperten, könnten trotzdem noch als zurückhaltende Schätzung durchgehen, denn die Statistik beruhe nur auf einem Online-Scan, den Panda im Web anbietet: Es seien darum nur die Besorgten und Verantwortungsvollen, die ihren Rechner vorsorglich untersuchen ließen, die hier erfasst worden - eine Minderheit der PC-Nutzer.
Da aber verschiedenen Messungen zufolge noch immer rund 30 Prozent aller Windows-Rechner für den Wurm anfällig seien, könnte die reale Verseuchungsquote auch entsprechend hoch liegen - zwischen 20 und 30 Prozent. Das ergäbe dann summa summarum bemerkenswerte 450 Millionen verseuchte PCs. Das ist schwer zu glauben und wohl kaum wahrscheinlich.
Das derzeitige Zahlen-Stapeln grenzt also schon an Hysterie - insbesondere, da der Wurm zumindest in der ersten Phase seiner Verbreitung seine eigentlichen Aufgaben möglicherweise gar nicht erfüllte: Manche IT-Experten halten zumindest die ersten zwei Versionen des Wurms für Rohrkrepierer. Conficker sorgt trotzdem für eine Menge Nervosität, weil er über Eigenschaften verfügt, die ihn zu einem potentiell erheblichen Sicherheitsrisiko machen:
* Er zielt auf Netzwerke, betrifft also vornehmlich Unternehmen, Organisationen und Behörden. Privat-PCs nimmt Conficker als Kollateralschäden mit.
* Er verbreitet sich auf mehreren Wegen und ist deshalb verhältnismäßig schwer einzudämmen.
* Er öffnet eine Hintertür ins Web, kann jede beliebige weitere Schadsoftware nachladen und kommuniziert mit seinen Urhebern.
* Er ist geeignet, ein Botnetz aufzubauen und zu kontrollieren. Das wäre selbst dann schon das größte seiner Art, wenn es nur aus den Rechnern bestünde, bei denen ein Befall bereits per Scan verifiziert wurde.
Wie viele Netzwerke Conficker bisher unterwandert hat, ist nicht bekannt: Mit so etwas gehen weder Firmen noch Behörden gern hausieren. Zu den bekannten Fällen gehört das Netzwerk der Gesundheitsbehörden in Neuseeland, die zwei Wochen brauchten, den Schädling wieder los zu werden. Die Hose herunter ließen dann am Dienstag auch die Gesundheitsbehörden der britischen Stadt Sheffield, die den PC-Krankheitserreger auf rund zehn Prozent ihrer Rechner gefunden hatten.
Der spektakulärste Fall aber dürfte der Befall der Computersysteme der britischen Marine und des britischen Verteidigungsministeriums sein: Zeitweilig sollen über 70 Prozent aller Rechner auf ihren Schiffen und U-Booten betroffen gewesen sein. Verseucht wurden angeblich auch Teile von anderen Netzwerken des Verteidigungsministeriums.
Das will offiziell nicht bestätigen, dass es um Conficker geht, gibt aber genügend Details bekannt, um kaum einen anderen Schluss zuzulassen. Auch hier arbeiten die IT-Sicherheitsexperten bereits seit mehr als zwei Wochen daran, die Systeme wieder sauber zu bekommen. Schwierig ist das, weil es offenbar wiederholt zu Neuverseuchungen bereits gesäuberter Rechner kam. Das Verteidigungsministerium in London veröffentlichte einige beruhigende Statements, die Gerüchte darüber, dass auch die Luftwaffe betroffen sei, aber nicht eindämmen konnten.
Das Problem wiegt so schwer, dass sich das Ministerium bemüßigt fühlte, offiziell bekanntzugeben, dass die Rechner zwar versenkt seien, nicht jedoch die Marine ihrer Majestät: Die Einsatzfähigkeit sei voll gewährleistet - auch, wenn dieser vermaledeite Wurm gerade irgendwelche Daten nach Russland schicke.
Woher kommt der Wurm - und was ist sein Zweck?
Denn zumindest in Richtung Osten vermuten IT-Experten die Urheber. Nicht nur, weil die Programmierung des Wurms die Handschrift einer notorischen, auf Erpressungs-Software spezialisierten kriminellen Bande aus Russland und der Ukraine trüge; nicht nur, weil der Wurm versuche, Befehle und Updates von russischen Servern zu beziehen; auch, weil die erste Version eine Sicherung enthielt, die dafür sorgte, dass ein Rechner nicht befallen wurde, wenn er auf einen ukrainischen Zeichensatz konfiguriert war. So was ist schon fast ein Absender.
Die Lösung war da, bevor das Problem entstand
Doch die Schuldigen im Fall Conficker entdecken Kommentatoren nicht nur in obskuren Malware-Schmieden im ehemaligen Ostblock, sondern auch in Redmond, USA. Da sitzt Microsoft, Hersteller aller Windows-Betriebssysteme und Quasi-Monopolist auch in Bezug auf die Verseuchung von Rechnern mit Würmern und Viren.
Auch im aktuellen Fall sieht sich Microsoft wieder mit Vorwürfen konfrontiert, eine Mitschuld am Erfolg von Conficker zu tragen. Manche davon muss sich das Unternehmen allerdings wirklich nicht zu Herzen nehmen: Die Sicherheitslücke in der Windows-Server-Software, die Conficker als primäres Einfalltor in Rechnernetze nutzt, hatte Microsoft bereits Mitte Oktober per Update geschlossen - und damit fünf Wochen, bevor Conficker seine Attacke begann.
Die erste Ursache für die ersten Verseuchungen lag also - man muss das so klar sagen - im ungesunden Büroschlaf manches IT-Verantwortlichen. Wer heute über ein Unternehmensnetzwerk zu wachen hat und sich fünf Wochen Zeit lässt, bevor er als gefährlich gekennzeichnete Sicherheitslücken schließt, muss sich mit Recht ein paar Fragen gefallen lassen. Dass noch immer bis zu 30 Prozent aller Rechner die nötigen Updates nicht empfangen haben sollen, ist mehr als fahrlässig.
Trotzdem: Ein erheblicher Image-Schaden
Seit der zweiten Welle aber verbreitet sich Conficker auch horizontal unter Ausnutzung einer systemimmanenten Schwäche aller Windows-Systeme: Es geht um die Autorun-Funktionen, die Windows als Voreinstellung anbietet, um Anwendungen von externen Laufwerken zu starten.
Wer etwa einen verseuchten USB-Stick an einen Rechner anschließt, braucht sonst nichts mehr zu unternehmen: Der Wurm wandert selbsttätig auf den nächsten PC. Jetzt fällt zum ersten Mal seit dem Rootkit-Skandal der Firma Sony massiv auf, dass Microsoft schlicht verpennt hat, diese so herrlich bequeme wie fatal gefährliche Funktion abschaltbar zu gestalten. Im Jahr 2005 hatte Sony CDs mit einem Rootkit ausgeliefert, der sich mit Hilfe der Autorun-Funktion heimlich auf Rechnern einnistete. Schon damals war auch die Autorun-Funktion massiv in die Kritik geraten, die diese Verseuchung erst ermöglichte. Geändert hat Microsoft seitdem nichts daran. Wer das Autorun unterbinden will, muss händisch in die System-Registry eingreifen - und das ist wahrlich kein Job für Laien.
Am Montag gab das amerikanische Computer Emergency Response Team (CERT) auch noch eine Warnung vor der Anleitung heraus, die Microsoft im Mai 2008 herausgegeben hatte, um zu erklären, wie man Autorun desaktiviert. Das CERT dokumentierte, dass das Problem so wie beschrieben nicht zu lösen war. Microsoft reagierte kurz darauf pikiert mit dem Hinweis, dass es doch längst eine Ergänzung zur Erklärung gäbe, die das Problem löse. Eine Peinlichkeit für beide Seiten, weil es klarmacht, dass sich selbst Experten da nur noch schwer zurechtfinden. Kritiker fragen da zurecht, warum Microsoft Betriebssysteme an Laien verkauft, bei denen potentiell riskante Einstellungen nur von Experten oder - mit entsprechenden Risiken - mit Hilfe komplizierter Anleitungen geändert werden können.
Denn nach wie vor ist die Entfernung des Wurms mit Hilfe eines der Removal-Tools verschiedener Anbieter (siehe Linkkasten) einfacher zu bewerkstelligen als die präventive Absicherung der Windows-Betriebssysteme. In Foren und in den Leserbrief-Postfächern der Medien hat der Wurm Conficker darum noch eine andere Epidemie ausgelöst: Eine Flut hämischer Postings mit dem Grundmotto "Mit Mac OS X oder Linux wäre das nicht passiert".
Egal, wie differenziert man das Thema auch betrachtet: Das stimmt.
Quelle : www.spiegel.de
-
Die Anzahl der Neuinfektionen mit dem Conficker-Wurm scheint langsam zurück zu gehen. Die höchsten Zahlen verseuchter Rechner sind bislang in China, Russland und Brasilien festzustellen.
Der finnische Antivirushersteller F-Secure hat in den letzten zwei Wochen mehrfach dramatische Zahlen über den Verlauf der Ausbreitung des Conficker-Wurms veröffentlicht. Inzwischen sind die Finnen zu der Ansicht gelangt, der Höhepunkt der Ausbreitungswelle sei überschritten. Am 23. Februar hat F-Secure etwas über eine Million IP-Adressen gezählt, hinter denen infizierte Rechner stecken. Wie viele Rechner hinter jeder IP-Adresse stecken, ist allerdings bestenfalls schätzbar.
Statt weiter über die tatsächliche Zahl der mit dem Conficker-Wurm infizierten Rechner zu spekulieren, wollen wir uns einmal die weltweite Verteilung ansehen. Hier fällt auf, dass die fünf Länder mit der höchsten Infektionsrate zusammen mehr als die Hälfte der Infektionen ausmachen. China, Russland und Brasilien liegen mit großem Vorsprung vorn, dahinter folgen Indien und die Ukraine, die nur halb so viele Infektionen aufweisen. Erst mit großem Abstand folgt eine Vierergruppe aus Südkorea, Italien, Rumänien und Argentinien.
Die USA, Deutschland und einige andere EU-Länder wie Frankreich und Großbritannien sind vergleichsweise wenig betroffen und liegen im Mittelfeld. Insgesamt hat Conficker Südamerika schwer erwischt, das einen Anteil von mehr als 20 Prozent erreicht. Nordamerika ist hingegen kaum betroffen: die USA kommen auf nicht einmal 1,2 Prozent, Mexiko auf ein Prozent und Kanada taucht in der Liste gar nicht erst auf. In Europa sind nur Italien und Rumänien stark betroffen.
Die Aufräumarbeiten nach der anhaltenden Wurmflut dürften in den vorgenannten Ländern noch schwierig werden. Wer seine Rechner nicht ausreichend geschützt hat, muss vor allem in größeren Netzwerken sehr sorgfältig und streng systematisch vorgehen, damit nicht ständig gesäuberte Rechner wieder infiziert werden. Hier sind es vor allen USB-Sticks und externe Festplatten, die noch lange Zeit für immer wieder aufflackernde Infektionsherde sorgen können.
Einige Antivirushersteller haben spezielle Programme zum Entfernen des Conficker-Wurms kostenlos bereit gestellt. Bei F-Secure heißt das Programm "F-Downadup", Kaspersky nennt den Wurm "Kido" und bietet einen "KidoKiller" an. Auch bei Symantec gibt es einen Gratis-Remover, er heißt "FixDownadup". Schließlich hat auch die aktuelle Version von Microsofts "Windows-Tool zum Entfernen schädlicher Software" den Conficker-Wurm auf dem Zettel.
Quelle : www.pcwelt.de
-
Sicherheitsunternehmen haben sich mit der ICANN und mehreren Domain-Registraren zusammen geschlossen, um dem Conficker-Wurm das Wasser abzugraben. Microsoft hat eine Belohnung für Ergreifung der Hintermänner ausgesetzt.
Die Internet-Domain-Verwaltung ICANN, Microsoft, etliche internationale Domain-Registrare, darunter Verisign, sowie Sicherheitsunternehmen wie die Antivirushersteller Symantec und F-Secure haben eine Koalition gebildet, die den Conficker-Wurm bekämpfen will. Microsoft hat eine Belohnung von 250.000 US-Dollar für Hinweise ausgesetzt, die zur Ergreifung der Täter hinter dem Conficker-Wurm führen.
Der je nach Antivirushersteller auch als "Downadup" oder "Kido" bezeichnete Wurm hat in den letzten Wochen mehrere Millionen Windows-Rechner infiziert. Er nutzt dazu unter anderem eine Sicherheitslücke in Windows, die Microsoft mit dem Security Bulletin MS08-067 behandelt hat. Außerdem breitet er sich über Wechselmedien und Netzwerkfreigaben aus.
Der Wurm enthält einen Update-Mechanismus, der über eine pseudo-zufälligen Algorithmus täglich etwa 250 neue Domain-Namen generiert. Der Wurm versucht sich mit diesen Domains zu verbinden, um sich zu aktualisieren. Die Koalition will nun mit vereinten Kräften diesen Update-Pfad dicht machen. Dazu sollen möglichst alle diese Domains vorab registriert und auf spezielle Server umgelenkt werden.
Wie Symantecs Malware-Forscher in ihrem Blog mitteilen, sollen diese Server infizierte Rechner und Netzwerke protokollieren, die sich mit diesen Domains zu verbinden versuchen. Außerdem will die Koalition bei solchen Conficker-Domains Nachforschungen anstellen, die von anderen Personen außerhalb der Koalition registriert worden sind.
Diese Initiative ist nach Art und Umfang bislang einzigartig. Mehr als 20 IT-Unternehmen investieren Geld und Arbeitskraft, um in einer gemeinsamen Anstrengung einen einzigen Wurm zu bekämpfen. Auch Anwender und Administratoren können einen Beitrag leisten: installieren Sie das Sicherheits-Update für Windows, das Microsoft mit dem Security Bulletin MS08-067 bereit gestellt hat. Ein aktuelles Antivirusprogramm schützt auch vor Conficker-Infektionen über die anderen Verbreitungswege.
Quelle : www.pcwelt.de
-
Der seit Wochen weltweit grassierende Computer-Wurm "Conficker" hat mehrere hundert Bundeswehr-Rechner befallen. "Einzelne betroffene Dienststellen wurden vom Bundeswehr-Netzwerk getrennt, um eine weitere Ausbreitung der Schadsoftware zu verhindern", sagte ein Sprecher des Bundesverteidigungsministeriums am Samstag in Berlin. Derzeit gebe es aber keine weiteren Einschränkungen. Spezialisten eines Computer-Notfall-Teams der Bundeswehr und des Unternehmens BWI Informationstechnik GmbH hätten "Maßnahmen zur Entfernung der Schadsoftware und Wiederherstellung der vollen Funktionsfähigkeit der Computersysteme der Bundeswehr eingeleitet".
Der Computer-Wurm hatte in der Vergangenheit auch schon Rechner von Streitkräften anderer europäischer Staaten befallen. In Frankreich hatte "Conficker" Mitte Januar das Intranet der Marine befallen. Ein Armeesprecher wies vor wenigen Tagen einen Bericht zurück, wonach mehrere Kampfflugzeuge wegen des Virusbefalls am Boden bleiben mussten. Das interne Kommunikationsnetz sei umgehend von anderen Netzen abgetrennt worden, um die weitere Ausbreitung des Computer-Wurms zu verhindern. Auch das britische Verteidigungsministerium hatte mit dem Computer- Wurm zu kämpfen.
Der Computer-Schädling hatte im Januar innerhalb weniger Tage Millionen Rechner weltweit infiziert. Betroffen sind vor allem Netzwerke von Firmen und Behörden. Erst am vergangenen Donnerstag hatte Microsoft für Hinweise, die zur Festnahme und Verurteilung der "Conficker"-Urheber führen, eine Belohnung von 250.000 Dollar ausgesetzt.
Der Wurm nutzt eine Sicherheitslücke in Windows-Betriebssystemen aus. Zudem versuche der Schädling, schwache Passwörter zu knacken. Auch eine Verbreitung über infizierte USB-Sticks ist möglich. "Conficker" ist nach Angaben des Anti-Viren-Herstellers F-Secure "ungewöhnlich schwierig zu entfernen". Der Wurm lädt zudem über das Internet weitere schädliche Software nach. Damit können die Angreifer beispielsweise Passwörter ausspähen oder Spam-Mails versenden.
Quelle : www.heise.de
-
Die BW stellt eine kompetente "Cybereinheit" auf. Und hat Probleme mit dem ollen Wurm... ;D ???
-
Sind wohl alles noch Azubis ;D
-
Ich als Kriegsdienstverweigerer habe natürlich alle Patches von M$ installiert.
Harte Männer brauchen keine Firewall u.s.w. ;D ;)
-
Die Internet-Verwaltung ICANN (Internet Corporation for Assigned Names and Numbers) glaubt, dass Schadsoftware wie der Conficker-Wurm sich auch weiterhin mittels des Domain Name Systems verbreiten werden. Kurzfristig könnten solche Attacken sogar zunehmen, schreibt der ICANN-Mitarbeiter Greg Rattray in einem Weblog-Beitrag.
Der Internet-Wurm Conficker generiert anhand der Zeit eine Liste von Domains, mit denen er Kontakt aufnimmt, um weiteren Code nachzuladen. Einige Sicherheitsexperten hatte Mitte Januar 2009 diesen Algorithmus erkannt und suchen seither eine Kooperation mit den Domain-Registraren, die die potenziell gefährdeten DNS-Namen schützen respektive blockieren können. Die ICANN hatte dabei mit Microsoft, den Registraren und den Sicherheitsexperten zusammengearbeitet – eine Arbeitsgruppe soll die Kooperation nun vorsetzen. Laut Greg Rattray, Chief Internet Security Advisor beim ICANN, soll das Gremium Maßnahmen zu finden, die Würmer- und Botnet-Angriffe im Internet schnell und effektiv bekämpfen.
Das alternative Domain-Name-System OpenDNS arbeitet seit Anfang Februar bei der Conficker-Bekämpfung mit Kaspersky Labs zusammen. OpenDNS arbeitet wie ein den offiziellen Root-Nameservern vorgeschalteter Filter, der jedoch den anerkannten Namensraum nicht manipuliert.
Quelle : www.heise.de
-
Die Autoren des Windows-Wurms Conficker entwickeln ihr Machwerk offenbar stetig weiter. Forscher des SRI International haben bei ihren Analysen festgestellt, dass die aktuellen Varianten Conficker B und B++ deutlich flexibler sind, was das Nachladen von Erweiterungen und neuen Versionen angeht.
Die erste Version des Wurms kontaktierte dazu Webseiten, deren Domain er nach einem leicht vorhersagbaren Verfahren ausgewürfelt hat. Microsoft und ICANN versuchten daraufhin, diese Domains unter ihre Kontrolle zu bringen beziehungsweise zu sperren. Die nachfolgende Version B verwendete ein anderes Verfahren, die Domains für seine Kontaktversuche zu ermitteln. Außerdem verzichtet sie auf den sogenannten "Selbstmordschalter", der bei Version A in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.
Das neueste Machwerk schlielßlich, Conficker B++, kann nicht nur DLLs nachladen, sondern beliebige, komplette Programme; es erweitert damit den Spielraum für weitere Aktivitäten der Botnetz-Betreiber. Und außer der Nachladefunktion enthält diese Version auch noch eine Hintertür, über die man von von außen aktiv Zusatzmodule oder neue Versionen einschleusen kann.
Die Forscher haben mittlerweile rund 10 Millionen IP-Adressen mit Conficker-Aktivitäten gezählt; davon über 6 Millionen mit Conficker B. Dies spiegelt jedoch nicht die Zahl der infizierten Systeme wieder. Diese dürfte nach Schätzungen von SRI International um rund eine Großenordnung niedriger, also eher im Bereich einer bis weniger Millionen Systeme liegen. Interessant ist auch die länderspezifische Auswertung: Dort führt China mit rund 2,7 Millionen IPs, und Deutschland liegt mit 195,923 infizierten Adressen noch knapp vor den USA.
Quelle : www.heise.de
-
Der PC-Wurm Conficker macht seinem Ruf als hartnäckigster Schädling der vergangenen Jahre weiter Ehre: Kopfgeldern auf die Autoren und Allianzen von IT-Sicherheitsfirmen zum Trotz schießt er mit Vorliebe Netzwerke ab. Nach der Bundeswehr erwischte es nun eine Hochschule in Deutschland.
Der Computer-Virus Conficker alias Downadup, der im Februar die Bundeswehr überrollte und für erhebliche Störungen sorgte, hat nun auch das Netzwerk einer Hochschule in Mecklenburg-Vorpommern erwischt und komplett lahmgelegt.
Die Fachhochschule für Verwaltung, Polizei und Rechtspflege mit rund 700 Studierenden in Güstrow musste deshalb zum äußersten Mittel greifen und alle Rechner vom Internet trennen. Zurzeit versuchen Systemtechniker den zentralen Server von dem Virus zu reinigen. Danach müssten alle anderen Computer einzeln von dem Computerwurm befreit werden, sagte ein Sprecher des Schweriner Innenministeriums. Ob durch den Wurm darüber hinaus Schäden verursacht wurden, sei bislang noch nicht abschätzbar.
Andere öffentliche Institutionen seien nach Informationen des Bundesministeriums für Sicherheit in der Informationstechnik bisher nicht von dem Virus betroffen.
Bei der Bundeswehr ist Conficker derweil kein Thema mehr. "Alle betroffenen Dienststellen sind wieder an das zentrale Netzwerk angeschlossen", sagte ein Sprecher des Bundesverteidigungsministeriums.
Hier hatte der Virus am 12. Februar zugeschlagen. Um die Ausbreitung zu verhindern, wurden einige hundert Rechner vom Netzwerk getrennt. Schaden sei nicht entstanden.
Indes kursieren neuere Versionen des Conficker-Virus, die noch intelligenter und aggressiver sind, als das Ursprungsvirus. Conficker verursacht keine unmittelbaren Schäden, sondern vermehrt sich besonders effizient und verteilt sich auf mehreren alternativen Wegen. Er öffnet auf befallenen Rechnern eine Hintertür, durch die er aus dem Internet weitere Schadsoftware nachladen kann. Conficker steht im Verdacht, seit Oktober vergangenen Jahres zum Aufbau eines Botnetzes aus ferngesteuerten Rechnern gebraucht zu werden.
Zeitweilig waren Schätzungen zufolge 10 bis 50 Millionen Rechner befallen. Die Säuberung von mit Conficker befallenen Netzwerken gilt als ungewöhnlich aufwendig. Der oder die Urheber sind weiter unbekannt. Der Softwaregigant Microsoft hatte am 13. Februar für Hinweise zu den Hintermännern eine Belohnung von 250.000 Euro ausgelobt.
Quelle : www.spiegel.de
-
Der Conficker-Wurm wird im März mindestens vier legitime Domains stören, heißt es in einem Bericht des Antivirus-Herstellers Sophos. Zwar bestehen die Domain-Namen, die der Schädling nutzt, um für neue Befehle nach Hause zu telefonieren, gewissermaßen aus einer zufälligen Buchstabenkombination und sind daher größtenteils ungenutzt. Doch am 8. März lautet die Zeichenkombination zufällig jogli.com – die Domain einer Musiksuchmaschine.
Am 13. März werden die Conficker-Drohnen die Southwest-Airlines-Website wnsux.com mit Anfragen überhäufen. qhflh.com, die Domain eines Frauennetzwerkes der chinesischen Provinz Qinghai, ist am 18. März an der Reihe und die praat.org, deren Inhalt sich mit algorithmischer Audio-Analyse beschäftigt, wird am 31. März zur Wurmhochburg. Den Domains droht durch die unnützen Netzwerkverbindungen der Millionen infizierten Systeme für rund einen Tag der Totalausfall. Laut Sophos sollen auch andere weniger frequentierte legitime Domains auf dem Weg des Wurms liegen.
Der AV-Hersteller schlägt vor, dass die betroffenen Sites ihre Domain für den Tag im DNS-System stillegen oder die HTTP-Anfrage http://<domainname>/search?q=<N> herausfiltern sollen. Die erste Option erfordert, dass der Betreiber eine Ausweich-Domain parat hat. Southwest-Airlines-Besucher können beispielsweise vorübergehend den alternativen Domain-Namen southwest.com verwenden. Die zweite Option dürfte nur in Frage kommen, wenn die angefragte Such-URL nicht verwendet wird.
Microsoft, ICANN und andere an der Conficker-Blockierung beteiligten Firmen – auch bekannt als das Conficker-Kabal – registrieren vorab die Domains, die der Schädling künftig sein Zuhause nennen wird. Der Algorithmus, nach dem der Wurm die Zeichenfolgen generiert, ist inzwischen bekannt. In diesem Zusammenhang weist Sophos darauf hin, dass einige der Domains bereits registriert seien und zum Verkauf stünden. Die Liste der zu blockenden Domains ist daher unvollständig, da sie vergebene Domains aus rechtlichen Gründen nicht enthalten darf.
Quelle : www.heise.de
-
Neue Versionen greift Sicherheitstools an
Symantec warnt vor neuen Varianten des ständig mutierenden Wurms Conficker, auch bekannt als Downadup. Der Wurm kann nun ein mehrfaches der zuvor betroffenen Domains angreifen und versucht, Sicherheitsprogramme auf infizierten PCs zu beenden.
Erst vor zwei Wochen waren die Versionen B und C des Conficker-Wurms aufgetaucht, nun gibt es neue Varianten, die sich von den bisherigen stark unterscheiden. In der Nomenklatur von Symantec heissen sie "Downadup.C", andere Antivirenhersteller wie Sophos sind schon beim Buchstaben E für die immer neuen Varianten des Wurms angekommen.
Die offenbar aktuellste von Symantec untersuchte Version des Conficker generiert nicht mehr nur jeden Tag 250, sondern bis zu 50.000 Domainnamen. Von dort versucht er sich zu aktualisieren. Die Domainnamen erzeugt der Wurm zwar mehr oder weniger nach dem Zufallsprinzip, dabei kann er jedoch auch zahlreiche kommerziell genutzte Buchstabenkombinationen erwischen. Dieses Problem wird nun noch schlimmer, da der Wurm dabei 116 Top-Level-Domains wie .com oder .de verwendet. Wie viele es vorher waren, gibt Symantec nicht an.
Zudem versucht der Wurm nun Prozesse zu beenden, die bestimmte Zeichenketten wie "wireshark", "procexp"" (Process Explorer) oder "hotfix"" enthalten. Dazu kommen noch Strings der Programme, die die gegen den Wurm veröffentlichten Microsoft-Patches installieren. Conficker kann über das Netz nur solche Systeme unter Windows 2000 bis Vista befallen, bei denen eine seit Oktober 2008 gepatchte Lücke im RPC-Dienst nicht geschlossen wurde. Zusätzlich ist aber auch eine Verbreitung durch das Ausführen einer Datei möglich, die sich auf USB-Sticks durch ein gefälschtes Autostart-Icon tarnt.
Symantec berichtet zudem, dass es derzeit keinen nennenswerten Anstieg der Neuinfektionen durch Conficker gibt. Daraus sowie aus den neuen Schutzmechanismen des Wurms schließt Symantec, dass die Conficker-Autoren derzeit vor allem bemüht sind, die befallenen Rechner unter ihrer Kontrolle zu behalten.
Wozu der Wurm erstellt wurde, ist weiterhin unklar ebenso wie die Zahl der von ihm infizierten Rechner. Manche Security-Unternehmen gehen von einer zweistelligen Millionenanzahl von Conficker-PCs aus, andere geben einige hunderttausend Rechner an. Außer dem einer DoS-Attacke entsprechenden Kontaktieren von Domains und der vertanen Arbeitszeit für seine Entfernung wurden bisher keine aktiven Schadfunktionen entdeckt.
Durch Würmer befallene PCs wurden in der Vergangenheit oft in Botnetzen verwendet, um beispielsweise massenhaft Spam-Emails zu versenden oder Firmen, die besonders von ihrer Webseite abhängig sind, per DoS-Atttacke zu erpressen. Ob hinter Conficker nur besonders motivierte Programmierer stecken, die mit den Antivirenherstellern und Internet-Administratoren Katz und Maus spielen oder ernsthaft kriminelle Absichten, ist noch nicht abzusehen.
Quelle : www.golem.de
-
Kaspersky Lab warnt vor einer neuen Version des Wurms Conficker alias Kido. Die neu aufgetretenen Variationen, beispielsweise Net-Worm.Win32.Kido.ip und Net-Worm.Win32.Kido.iq, unterscheiden sich vom Vorgänger durch erweiterte Trojaner-Funktionalität und wehren sich gegen installierte Antiviren-Software.
Kido, besser bekannt unter dem Namen Conficker, ist Ende letzten Jahres erstmals in Erscheinung getreten und hat ein bislang ungekanntes Ausmaß erreicht. Die neuen Versionen, auf die vorgestern bereits Symantec hinwies, erreichen mit bis zu 50.000 Domainnamen, die sie täglich kontaktieren, ein 200-faches der ersten Conficker-Version.
"Bis jetzt sehen wir keine akute Gefahr einer Virenepidemie durch die neue Kido-Version", so Vitali Kamlyuk, Senior Anti-Malware Expert von Kaspersky Lab. "Sollte die Neuauflage jedoch die vorab aufgetauchten Versionen ersetzen, erwarten wir ernsthafte Probleme beim Kampf gegen die Entwickler dieses Schädlings."
Der Wurm Kido/Conficker mit dem Funktionsumfang eines Trojan-Downloaders transferiert weitere Schädlinge auf den infizierten Rechner. Kaspersky Lab registrierte den Schädling erstmals im November 2008. Die neuen Varianten von Conficker wurden am Samstag, den 7. März, in die Antiviren-Datenbanken von Kaspersky Lab eingetragen.
Erneut empfiehlt Kaspersky Lab allen Benutzern, das Betriebssystem-Update MS08-067 zu installieren. Antiviren-Lösungen mit aktuellen Signaturen sowie eine richtig konfigurierte Firewall tragen ebenfalls zum Schutz vor Infizierung bei. Benutzer der Antiviren-Produkte von Kaspersky Lab, die ihre Betriebssysteme mit dem Patch von Microsoft aktualisiert haben, sind gegen Kido geschützt.
Quelle : www.pcwelt.de
-
Eine Reihe von Antiviren-Software-Herstellern bietet inzwischen eigenständige Tools zum Entfernen des Conficker-Wurms an, darunter Symantec, F-Secure und Bitdefender. Diese Programme erfordern keine Installation der Antiviren-Lösung; man kann sie beispielsweise auf einen USB-Stick kopieren und von dort aus dann auf dem infizierten Rechner starten.
Leider lässt sich keiner der Hersteller in seiner Beschreibung darüber aus, welche Versionen des Wurms er zuverlässig erkennen und tatsächlich vollständig beseitigen kann. Darüber, ob eine Reinigung des Systems sinnvoll ist oder nicht doch eher eine komplette Neuinstallation beziehungsweise Wiederherstellung aus einem Backup die bessere Wahl ist, lässt sich ohnehin trefflich streiten. Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. Zumindest bei gut untersuchten Würmern wie Conficker ist zumindest das Risiko gering, dass das Reinigungsprogramm eine bislang unbekannte Hintertür übersieht.
Siehe dazu auch:
* W32.Downadup Removal Tool (http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99) von Symantec
* F-Downadup (http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml) von F-Secure
* Downadup Removal Tool (http://bdtools.net/) von Bitdefender
* Der Virendoktor; Vom richtigen Umgang mit (vielleicht) infizierten Systemen (http://www.heise.de/security/Der-Virendoktor--/artikel/80369) auf heise Security
Quelle : www.heise.de
-
Phillip Porras, Hassen Saidi und Vinod Yegneswaran von SRI publizierten gestern eine erweiterte und äußerst umfangreiche Analyse des Wurms Conficker, ebenso wie der C-Variante.
Auf der Website von SRI können sich interessierte und affine Menschen die Analyse des Wurms in allen Details ansehen. So wurde die Analyse um viele weitere Details ergänzt. Von den Funktionen an sich, über Quellcodes und schematischen Darstellungen, bis zur Verbreitung in einzelnen Ländern, findet man hier eine äußerst genaue Aufstellung rund um Conficker und auch die Variante Conficker C. Auf der Website heißt es einleitend hierzu:
"Conficker ist eine neue interessante Art von selbstaktualisierenden Würmern, die sehr viel Aufmerksamkeit aus den Reihen derer erhielt, die sich mit der Verbreitung von Malware beschäftigen. Tatsache ist, wer sich mit Honeynets beschäftigt, wird kaum von der Malware Conficker nichts mitbekommen haben. In den letzten Monaten hat dieser Wurm alle anderen Vertreter seiner Art aus dem Weg geräumt und nahezu jeden Windows 2K- und XP-Honeypot infiziert, der von uns ins Netz gestellt wurde. Von letztem November bis in den Dezember registrierten wir mehr als 13.000 Befälle in unserem Honeynet und weitere 1.5 Millionen infizierte Ips aus 206 Staaten."
Conficker, der bisher noch keinen direkten Schaden verursacht hat und auch unter dem Namen Kido bekannt ist, schläft somit weiter vor sich hin. Er erzeugt damit bislang nur ein enormes Botnet, das jedoch jederzeit für DDoS-Angriffe, Datendiebstähle oder weitere Infektionen benutzt werden kann. Außer, dass er sich weiterhin Updates holt und sich verbreitet, wurden keine anderweitigen Aktionen darüber bekannt. Ebenso der Autor, auf den von Microsoft ein Kopfgeld von 250.000 US-Dollar ausgesetzt wurde, bleibt unbekannt. Wieviele Infektionen insgesamt bereits gezählt werden können, bleibt auch unklar. Es wird von bis zu 50 Millionen Rechnern ausgegangen. Ars Technica berichtet, die ersten Auswirkungen seien laut einer Analyse voraussichtlich für den 1. April geplant. Man darf hoffen, dass dies ein Aprilscherz bleiben wird.
Anti-Virenhersteller haben in den vergangenen Tagen eine Reihe von Tools zur Entfernung des Schädlings veröffentlicht, darunter Symantec, F-Secure, Bitdefender und Kaspersky. Prominenteste Opfer der Schadsoft dürften weiterhin die deutsche Bundeswehr sein, ebenso wie eine Fachhochschule in Mecklenburg-Vorpommern und einige Kärntner Krankenhäuser.
Quelle und Links : http://www.gulli.com/news/conficker-c-quellcode-analyse-2009-03-20/
-
IT-Sicherheitsforscher versuchen mehr über die Verbreitung des Computerschädlings Conficker zu erfahren. Dazu suchen sie dessen allererstes Opfer.
Conficker A, die erste Version, nutzte eine Windows-Lücke aus, die bereits mit dem Monate vor der Verbreitung des Schädlings von Microsoft veröffentlichten Sicherheitsupdate MS08-67 geschlossen wurde. Die Experten vermuten daher, dass Conficker zunächst eine relativ kleine Anzahl von Firmenrechnern mit langen Update-Zyklen infizierte, auf denen der entsprechende Patch noch nicht installiert war. Nach diesen Rechnern fahnden sie nun.
Forscher der University of Michigan bedienen sich dabei eines Überwachungs-Systems des Department of Homeland Security (DHS), das dieses bereits seit sechs Jahren zur Überwachung sogenannter Darknets nutzt. Die IT-Sicherheitsexperten gehen davon aus, dass dieses System aufgezeichnet hat, wie Conficker sich von den ersten infizierten PCs aus neue Opfer suchte. Das nämlich geschieht immer nach einem bestimmten Muster. Um die entsprechenden Informationen zu finden, müssen die Forscher allerdings geschätzte 50 Terabyte Daten durchsuchen. Die Forscher allerdings sind recht zuversichtlich: Zu ihrer Überraschung enthält Conficker offenbar keinen Code, der die Sensoren des DHS blockiert, was nach ihrer Ansicht durchaus machbar gewesen wäre. Beobachter merken an, das dies nicht gerade ein gutes Licht auf die Effektivität der DHS-Systeme wirft - allerdings scheinen auch die Conficker-Autoren, die bisher sehr erfolgreich mit ihrem destruktiven Treiben waren, hier einen Fehler gemacht zu haben.
Die Forscher hoffen nun auf wertvolle Informationen darüber, wie sich Conficker quer durch das Internet verbreitete. Sie hoffen, so besser gegen zukünftige Epidemien vorgehen zu können.
Quelle : www.gulli.com
-
Die neueste Variante des Conficker-Wurms gibt den Malware-Forschern Rätsel auf. Sie haben zwar heraus gefunden, dass sich der Schädling am 1. April aktivieren wird, wissen aber nicht genau, was er dann machen wird.
Der Wurm Conficker (Alias: Downadup, Kido) ist von seinen Programmierern gründlich überarbeitet worden. Die seit ein paar Wochen bekannte dritte Version, oft als "Conficker.C" bezeichnet, enthält zahlreiche, zum Teil grundlegende Änderungen der Funktionalität. Malware-Forscher haben bei der Analyse des Schädlings heraus gefunden, dass er am 1.April aktiv werden soll. Sie rätseln jedoch noch, was dann genau passieren wird.
Zu den wesentlichen Änderungen bei Conficker.C, der auf den meisten infizierten Rechnern die Vorversionen ersetzt hat, gehört die Entfernung einer Verbreitungsroutine. Der Schädling breitet sich also nicht mehr auf weitere Rechner aus. Vielmehr scheinen die Programmierer darauf aus zu sein die bestehende Basis infizierter PCs, das Conficker-Botnet, zu konsolidieren. Der Schädling verteidigt sich aggressiver als seine Vorgänger gegen Entdeckung und Entfernung. Dazu greift er aktiv vorhandene Sicherheitsprogramme wie Virenscanner an und versucht sie auszuschalten.
Die Kommunikation des Schädlings mit dem Mutterschiff sowie anderen infizierten Rechnern ist ebenfalls verändert worden. Die bislang verwendete, recht schlichte HTTP-Kommunikation ist nun einem Update-Check mit kryptografischer Signatur gewichen. Die Kommunikation der infizierter Rechner erfolgt über ein ausgefeiltes P2P-Protokoll, das der Verteilung von ebenfalls kryptografisch signierten Updates dient.
Statt wie Conficker.B 250 pseudo-zufällige Domain-Namen am Tag zu generieren, erzeugt Conficker.C 50.000 Domain-Namen am Tag, von denen er 500 zufällig ausgewählte abfragt, um Updates zu erhalten. Conficker fragt ferner etliche große Websites wie etwa Yahoo ab, um das aktuelle Datum zu erhalten. Am 1. April soll es dann los gehen - nur was da geschehen soll, ist noch unklar.
Versuche in Antiviruslabors, bei denen Forschern dem Schädling das Datum 1. April vorgetäuscht haben, sind bislang wenig aufschlussreich geblieben. Die Täter, die Conficker kontrollieren, haben aus nachvollziehbaren Gründen noch keine vorbereiteten Updates oder Anweisungen online gestellt, die Forscher abfangen könnten. Ebenfalls unklar ist weiterhin, was die Täter mit dem in den letzten Monaten aufgebauten Botnet von schätzungsweise mehr als einer Million infizierter Rechner überhaupt vorhaben. Vermutlich wird auch diese Frage am 1. April beantwortet.
Quelle : www.pcwelt.de
-
Der Conficker-Wurm ist enorm verbreitet, hat die IT-Security-Szene in Aufruhr versetzt, neue Branchen-Allianzen initiiert und gilt als potentiell enorm gefährlich. Auf seine Schöpfer sind Kopfgelder ausgesetzt und - am 1. April wird er aktiv. Oder sollte das nur ein Scherz sein?
Drei Generationen in sechs Monaten, in der Welt der PC-Würmer und Viren ist das nicht viel. Seit seinem ersten Auftreten im Oktober 2008 haben die unbekannten Programmierer des Conficker- oder auch Downadup-Wurms diesen nur zweimal grundlegend überarbeitet. Zu viel mehr hatten sie kaum einen Grund: Der Schädling verbreitet sich weiterhin ungewöhnlich erfolgreich.
Das IT-Security-Unternehmen BitDefender sah ihn - alle seine Varianten zusammengenommen - im März an Platz 3 der erfolgreichsten Viren und Würmer. Über vier Prozent aller gefundenen Schadprogramm-Infektionen gehen angeblich auf Conficker zurück. Das ist eine Menge.
Auf der anderen Seite scheint Conficker bisher wenig Erfolg gehabt zu haben: Zwar vermehrt und verbreitet er sich mit kaninchenhafter Geschwindigkeit, ansonsten ist er aber ein ganz kuscheliger Wurm. So richtig Beißen scheint er bisher nicht zu können, was all das mediale "Warnung!"-Geschrei ad absurdum zu führen scheint. Seit Jahresbeginn verbreiten wir Medien mit jeder neuen, kraftvollen Variante die Warnung der Sicherheitsfirmen vor der potentiell heftigsten Schadprogramm-Attacke aller Zeiten. Wenn das so weitergeht, hört bald niemand mehr hin.
Selbst die Security-Firmen trauen sich nicht mehr so richtig. Sie sind sich einig, dass Conficker C, die neueste Generation des Wurms, erheblich mehr Schadpotential hat als seine Vorgänger. Die vergangenen Updates zielten unter anderem darauf ab, das Netzwerk aus gekaperten Rechnern zu stabilisieren.
Man weiß: Er wird aktiv. Wie genau, weiß keiner
Die Experten wissen auch, dass Conficker C darauf programmiert ist, am 1. April 2009 aktiv zu werden. Seine Programmierung sieht vor, dass er dann wieder einmal seine Fühler ins Netz ausstreckt und neue Befehle erhält, neue Schadprogramme nachlädt. Das, sagt Graham Cluley, Sprecher der IT-Sicherheitsfirma Sophos und inzwischen auffällig zurückhaltend, könne bedeuten, dass etwas passiert. Vielleicht aber auch nicht.
Denn ob und was der Wurm unternimmt, wird man erst wissen, wenn er versucht, mit dem Download seiner neuen Befehle und Funktionen zu beginnen. Das Ganze ist ein Katz-und-Maus-Spiel. Wir PC-Nutzer werden Zeuge einer Pokerpartie von Virenschreibern und Virenbekämpfern, mit allem, was dazu gehört - Bluffs inklusive. Noch immer ist noch nicht einmal klar, was die Virenautoren überhaupt wollen.
Abgesehen davon, dass sich ihr Wurm massenhaft verbreiten soll, und das vorzugsweise innerhalb von Netzwerken. Das ist der Grund, warum es Anfang des Jahres so spektakulär Regierungsbehörden erwischte, dazu ausgerechnet das Militär: Bundeswehr, französische und britische Streitkräfte brauchten teils Wochen, Conficker wieder loszuwerden. Das klingt unheilschwangerer, als es ist: Es ist unwahrscheinlich, dass dies gezielte Attacken waren.
"Betroffen von dem Wurm sind viele", meint dazu Dirk Kollberg von der IT-Sicherheitsfirma McAfee. "Behörden ebenso wie Unternehmen oder Privatleute. Generell denke ich, dass es keinen guten Eindruck macht, wenn eine Firma ein internes Sicherheitsproblem bekannt macht. Behörden unterliegen vielleicht nicht diesem Druck und können so offener darüber sprechen."
So zählt auch Kollbergs Kollege Christoph Hardy von der britischen Firma Sophos die "Verluste durch Imageschäden" mit in die bisherige Schadensbilanz von Conficker. Hardy: "Conficker zerstört keine Hardware. Er ist eine Malware der neuen Generation, die es ermöglicht, infizierte PC zu übernehmen und diese zum Beispiel zu Botnetz-Zwecken fernzusteuern. Daher sind finanzielle Schäden schwer zu beziffern."
Ein Pokerspiel, bei dem der Nutzer als Verlierer feststeht
Die, sagt Hardy, entstünden zurzeit vor allem dadurch, dass der Wurm in befallenen Netzwerken Mail-Gateways belaste, freigegebene Ordner auf Computern infiziere und herkömmliche Virenscanner umgehe, die auf einen reinen Update-Mechanismus zur Aktualisierung setzten. "Die größten Schäden" sekundiert Kollberg, "dürfte der Wurm bei der Bereinigung verursachen."
Bis jetzt. Denn dass Conficker geeignet und wohl auch dafür gedacht ist, ein Botnet aufzubauen, gilt als ausgemachte Sache. Eric Chien von der IT-Sicherheitsfirma Symantec glaubt, dass man aus einer der bisherigen Adressen, über die Conficker versucht hat, Schad-Code nachzuladen, Rückschlüsse über die Absichten der Virenprogrammierer ziehen könnte: Die Betreiber der betreffenden Seite seien "schwer involviert gewesen" in den Vertrieb von Adware und Fake-Virenschutzprogrammen, auch als Fakeware oder Erpressungs-Software bekannt.
Solche Programme täuschen einen Virenbefall vor, blockieren oder behindern Funktionen des Rechners und verlangen die Überweisung eines Preises für ein Reinigungsprogramm, um den Rechner wieder frei zu bekommen. Das ist nichts anderes als Schutzgelderpressung in bester Mafia-Tradition und inzwischen Alltag im Netz.
Countdown ins Ungewisse
Vielleicht ist das so, vielleicht aber auch noch viel primitiver: "Unserer Meinung nach", sagt Kollberg von McAfee, "wird derzeit primär versucht, möglichst viele Rechner unter Kontrolle zu bekommen. Durch die Installation von Adware über das Conficker-Netzwerk wäre es möglich, Geld über ein Affiliate-Programm zu generieren."
Zu deutsch: Der Wurm ließe sich schon zu Geld machen, indem man die Masse der befallenen Rechner schlicht auf dem Adware-Markt anböte - der schmierigsten Variante des Werbemarktes. Manche dieser Adware-Programme spionieren PC-Nutzer aus, bombardieren sie mit Trash-Werbung von Viagra-Kopien über Produktplagiate bis zu Pornonetzwerken oder "kidnappen" die Browser der PC-Nutzer, indem sie sie ab und zu, aber immer wieder auf Websites landen lassen, die sie gar nicht besuchen wollten.
Wie gesagt: Vieles ist möglich. Was ab dem 1. April geschehen wird, wird man erst wissen, wenn Conficker wirklich ein Selbst-Update gelingt.
Auch das hat er bereits zweimal versucht, was allerdings durch die Bemühungen der wohl breitesten Firmenallianz, die je gegen ein Virus angetreten ist, verhindert wurde. Die "Conficker Cabal" ist ein informelles Bündnis, das Firmen und Organisationen von Microsoft über IT-Sicherheitsfirmen bis hin zur Icann umfasst. Anfang Februar setzte Microsoft ein Kopfgeld von 250.000 Dollar auf die Virenautoren aus, bisher vergeblich: Die programmieren fleißig weiter. Immerhin verhinderte die Cabal-Gruppe bisher erfolgreich, dass der Wurm über das Netz "nachladen" konnte. Diesmal aber wird das schwerer.
Denn bisher mussten die Daten- und Netzwerkschützer nur rund 250 Internet-Adressen okkupieren oder sperren, um das Nachladen zu verhindern. Diesmal aber, sagt Dirk Kollberg von der IT-Sicherheitsfirma McAfee, geht es um 50.000 mögliche Nachlade-Adressen. Die Sicherheitsexperten finden das bedrohlich.
Warum kann sich Conficker überhaupt noch verbreiten?
Dass der Wurm sich überhaupt noch verbreitet, verstehen viele Nutzer nicht. Denn Conficker nutzt ja eine Sicherheitslücke in Windows-Systemen aus, die auch schon im Oktober 2008 längst bekannt und geflickt war. Alle IT-Sicherheitsfirmen bieten mit ihren Produkten Schutz gegen den Wurm. Doch so einfach ist die IT-Welt nicht, gerade wenn es um große Netzwerke wie die von Firmen und Behörden geht.
Denn auch die Sicherheits-Patches für ein Programm können Probleme verursachen. Deshalb testen die IT-Abteilungen solche Flicken gern erst selbst, bevor sie sie in ihren Netzwerken installieren: Ein Administrator, sagt Hardy, spiele so einen Patch nicht einfach "in ein Live-System ein". Auch Kollberg hat dafür Verständnis: "Sollte das Update einen produktionsrelevanten Prozess stören, könnte hierdurch ein großer Schaden entstehen."
Wenn sich dann ein Schädling verbreitet, bevor die Installation erfolgt ist, ist die Sache gelaufen. Denn wie viele andere Viren und Würmer auch setzt Conficker als erstes Virenschutz-Software außer Gefecht, verhindert die Updates der Sicherheits-Software. Aus befallenen Systemen heraus verbreitet sich Conficker dann auf jedem denkbaren Weg - bis zur Huckepack-Verbreitung über befallene USB-Sticks.
Wie viele Rechner dort draußen nun befallen sind, wie viele Netzwerke am 1. April das große Selbst-Update versuchen werden, darüber wagen auch die IT-Sicherheitsfirmen keine Schätzungen mehr. Im ersten Conficker-Schock hatten sich einige mit Zahlen bis zu 50 Millionen vorgewagt, inzwischen rechnet man eher mit einer hoch sechsstelligen oder klein einstelligen Millionenzahl - ohne damit zitiert werden zu wollen. Keine Frage, damit ließe sich eine Menge Schaden anrichten. Am 1. April?
Möglich, aber vielleicht ist auch das wieder ein Bluff, ein Scherz, ein Teil des Katz-und-Maus-Spiels. Sicher ist, dass Conficker das Selbst-Update versuchen wird, der Rest ist Spökenkickerei. Noch einmal Dirk Kollberg: "Welche Schäden in Zukunft, zum Beispiel durch das Herunterladen von weitere Dateien, entstehen werden, kann man nicht vorhersagen."
Nur, dass der Countdown läuft. Zu was auch immer.
Quelle : www.spiegel.de
-
Der Conficker-Wurm ist in aller Munde und Betrüger nutzen das große Interesse daran, um vorgebliche Sicherheitsprogramme zu verbreiten. Dazu manipulieren sie die Trefferlisten von Suchmaschinen.
Viele Menschen sind offenbar verunsichert und wollen wissen, was der bekannte Conficker-Wurm (Alias: Downadup, Kido) am 1. April machen wird. Wer mit Suchmaschinen nach Informationen fahndet, läuft allerdings Gefahr seinen Rechner mit betrügerischen Sicherheitsprogrammen zu verseuchen. Diejenigen, die mit solchen falschen Antivirusprogrammen Geld verdienen, manipulieren die Suchergebnisse von Google und Co., um weit vorne in der Trefferlisten zu landen.
(http://images.pcwelt.de/images/pcwelt/bdb/1975585/800x.jpg)
Wer auf einen solchen Link in der Trefferliste klickt, wird zum Beispiel automatisch zu einer vorgeblichen Video-Website umgeleitet. Diese präsentiert eine falsche Fehlermeldung, man benötige ein "Video ActiveX Object", um das Video abspielen zu können. Wer auf "OK" klickt, kommt zu einem Download-Dialog, um eine Datei namens "codec.exe" herunter zu laden. Hierbei handelt es sich um ein Trojanisches Pferd, das von Windows Defender als "TrojanDropper:Win32/Insebro.A" gemeldet wird. Spätestens an dieser Stelle sollte der Download abgebrochen werden.
(http://images.pcwelt.de/images/pcwelt/bdb/1975586/800x.jpg)
In anderen Fällen landet man, wie John Park im Symantec Security Response Blog berichtet, gleich auf einer Seite, die im Browser-Fenster ein Abbild eines Fensters des Windows Explorer zeigt. Darin enthalten ist ein Fenster mit dem Titel "Windows Security Alert", das angeblich gefundene Schädlinge meldet. Besucher bekommen dann einen kostenlosen Virenscan angeboten.
Wer das Angebot annimmt, schaufelt sich eine betrügerische Antivirus-Software auf den PC, die nicht existierende Schädlinge meldet und dem Benutzer zu deren Entfernung die kostenpflichtige Vollversion der vorgeblichen Sicherheitslösung aufdrängt. Für den verlangten Preis bekäme man jederzeit eine komplette Schutzlösung eines renommierten Antivirusherstellers.
Erkennung durch Antivirusprogramme
Die Erkennung zweier aktueller Varianten der erwähnten Datei codec.exe durch Antivirusprogramme ist, vorsichtig ausgedrückt, recht bescheiden.
Quelle : www.pcwelt.de
-
Der hartnäckige Computer-Wurm "Conficker" verbreitet sich weiterhin rasend schnell im Internet. Wie nun bekannt wurde, ist mittlerweile auch das Netzwerk des britischen Parlaments von dem Windows-Wurm befallen worden.
Wie 'CNET' unter Berufung auf einen Blogeintrag berichtet, arbeitet das Parlament daran, den Wurm von den infizierten Rechnern zu entfernen. "Wir überprüfen derzeit das Netzwerk und falls wir ein infiziertes Gerät entdecken sollten, werden wir dafür sorgen, dass dies vom Netz genommen wird, oder dass der Wurm vom Computer entfernt wird", heißt es in einer E-Mail an die Nutzer des Netzwerkes.
Weiter heißt es, dass die Mitarbeiter jegliche nicht autorisierten Geräte sofort vom Netzwerk trennen sollen, um vor neuen Infektionen geschützt zu sein. In einem Blogeintrag hat sich mittlerweile auch der Sicherheitsexperte Rik Ferguson von Trend Micro zu Wort gemeldet und zeigte sich verwundert darüber, dass überhaupt unautorisierte Geräte Zugriff auf das Netzwerk das Parlaments haben.
"Von all den Organisationen im ganzen Land würde man doch vom britischen Parlament am ehesten erwarten, dass eine Zugangskontrolle zum Netzwerk besteht, um damit nicht autorisierte Personen fernzuhalten", so Ferguson. Fraglich sei zudem die eingesetzte Sicherheitslösung, die den Befall des Netzwerkes nicht bemerkt habe.
Dass das Parlament allem Anschein nach Schwierigkeiten damit hat, den Wurm zu entfernen, ist dem Experten ein Rätsel. An das Parlament schreibt Ferguson deshalb: "Falls sie Probleme damit haben den Wurm zu entfernen, rufen sie uns an und wir kommen vorbei und entfernen den Wurm kostenlos."
Neben dem britischen Parlament sind in der jüngsten Vergangenheit auch zahlreiche Rechner der deutschen Bundeswehr vom Conficker-Wurm befallen worden. Für den 1. April befürchten Sicherheitsexperten einen Großangriff in Form einer Spam-Welle oder DDoS-Attacken.
Quelle : http://winfuture.de
-
Am 1. April wird Conficker.C anfangen, sich im Web nach Updates umzusehen. Ein "Ausbruch des Computervirus" oder gar eine neue Virenwelle, wie teilweise in Medienberichten zu lesen war, ist dabei nicht zu befürchten. Ein Teil der bereits infizierten Windows-PCs wird seine Update-Routine aktivieren – das ist alles.
Antiviren-Experten gehen davon aus, dass mittlerweile weltweit mehrere Millionen PCs mit Conficker infiziert sind. Conficker.C ist nur eine von drei bekannten Versionen des Wurms; am weitesten verbreitet ist die B-Variante. Sie versucht bereits seit geraumer Zeit Updates von 250 Domains nachzuladen, die der Wurm täglich neu errechnet. Eine Initiative rund um Microsoft und ICANN hat den verwendeten Algorithmus bestimmt und beobachtet beziehungsweise blockiert diese Domains.
Deshalb haben die Wurm-Autoren bei Conficker.C die Latte weiter angehoben und die Zahl deutlich erhöht. 50.000 Domainnamen erstellt der Wurm jeden Tag und greift sich daraus zufällig 500, auf denen er tatsächlich nachschaut, ob ein Update bereitliegt. Zwar wurde auch dieser Algorithmus bereits geknackt, aber jeden Tag 50.000 Domains zu registrieren, übersteigt die Kapazitäten der Anti-Conficker-Aktivisten.
Es stellt sich natürlich die Frage, was Conficker.C auf den Servern finden wird. Die ehrlich Antwort lautet: Man weiß es nicht. Es spricht jedoch einiges dafür, dass am 1. April überhaupt nichts passieren wird. So weisen etwa die Antiviren-Experten von F-Secure in ihren FAQs darauf hin, dass ein eventuell geplantes Update genauso gut am 5. April stattfinden könnte, wenn die Aufmerksamkeit wieder etwas nachgelassen hat. Was ein solches Update dann bewirken könnte, ist derzeit reine Spekulation.
Quelle : www.heise.de
-
Felix Leder und Tillmann Werner von der Uni Bonn haben den Conficker-Wurm analysiert und dabei unter anderem herausgefunden, dass er die Art und Weise ändert, wie Windows auf bestimmte Systemaufrufe reagiert. Das läst sich nutzen, um mit Conficker infizierte Systeme übers Netz aufzuspüren.
Konkret kann ein Scanner übers Netz die Funktion NetpwPathCanonicalize() aufrufen, die die Lücke enthielt, über die sich Conficker verbreitet. Conficker fängt diese Aufrufe ab und behandelt sie selbst. Dabei ändert sich in bestimmten Fällen der Rückgabewert, wenn Conficker seine Hand im Spiel hatte. Für einen solchen Test muss allerdings der TCP-Port 445 des Windows-Systems erreichbar sein, was übers Internet normalerweise nicht der Fall ist (und auch nicht sein sollte).
(http://www.heise.de/bilder/135434/0/1)
Der Rückgabewert der Funktion NetpwPathCanonicalize verrät den Wurm.
Leder und Werner haben als Machbarkeitsbeweis einen solchen Scanner geschrieben. Da sie in Zusammenarbeit mit Dan Kaminsky diese Informationen an die Conficker Working Group und andere Sicherheitsexperten weitergereicht haben, sollten demnächst auch Scanner von Dritten diese Funktion anbieten. Insbesondere kündigt Kaminsky passende Erweiterung für nmap, Tenable (Nessus), McAfee/Foundstone, ncircle und Qualys an.
Administratoren in Firmen tun gut daran, ihr Netz noch vor dem 1. April nach möglicherweise infizierten Systemen zu scannen. Ab diesem Datum beginnt Conficker.C Updates aus dem Internet nachzuladen, von denen niemand weiß, was sie bewirken. Eine ganze Reihe von AV-Herstellern bieten spezielle Programme zur Reinigung von Conficker an. Sicherer ist es, auf infizierten Systemen eine Neuinstallation durchzuführen und ein Backup einzuspielen.
Quelle : http://www.heise.de/security/Deutsche-Forscher-entwickeln-Netzwerk-Scan-fuer-Conficker-Wurm--/news/meldung/135434
-
Felix Leder und Tillmann Werner von der Uni Bonn stellen heute die Ergebnisse ihrer Analyse des Conficker Wurms vor. Sie beschreiben nicht nur in einem Paper aus der Reihe "Know your Enemy" die Funktionsweise des Wurms sondern sie präsentieren auch eine Reihe von Tools, mit denen man vor dem Wurm imunisieren oder ihn aufspüren und auch sauber entfernen kann. Und schließlich haben sie auch ein Problem entdeckt, über das man anscheinend Conficker sogar direkt angreifen könnte.
Sollte es noch eines Beweises bedurft haben, dass Conficker kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Conficker selbst tut, dann dekodiert er den darin enthaltenen Shellcode. Der versucht typischerweise den eigentlichen Wurmcode nachzuladen; die dafür verwendete URL extrahiert Conficker aus dem Shellcode und lädt das Wurm-Programm dann selber.
Doch damit nicht genug. Conficker testet sehr genau, ob es sich um eine aktuellere Version seiner selbst handelt. Er erwartet dazu eine digitale Signatur, die mit einem geheimen RSA-Schlüssel des Wurm-Autors erstellt sein muss. Es ist quasi aussichtslos, Conficker auf diesem Weg etwas unter zu schieben; die Entwickler haben für den Wurm einen dezentralen Auto-Update-Mechanismus implementiert, den die Forscher für praktisch unknackbar halten.
(http://www.heise.de/bilder/135444/0/1)
Der Scanner durchsucht jeden Prozess nach den charakteristischen RSA-Schlüsseln.
Trotzdem lassen sich die Ergebnisse von Leder und Werner gezielt gegen den Wurm einsetzen. Indem sie im Hauptspeicher nach den eindeutigen RSA-Keys zum Überpüfen der digitalen Signaturen suchen, können sie die Threads des Wurms gezielt aufspüren und beenden. Außerdem haben sie die eingesetzten Algorithmen für Pseudozufallszahlen und deren jeweilige Initilialisierungsparameter erforscht und nachgebaut. So stellen sie Tools bereit, mit denen man die pseudozufällig ermittelten Domainnamen errechnen kann, zu denen Conficker zu einem bestimmten Zeitpunkt Kontakt aufnimmt. Auch die Dateinamen und Registry-Einträge lassen sich mit einem Tool nachbauen. Des weiteren haben sie ein Programm geschrieben, das im System bestimmte Mutexe setzen kann, bei deren Vorhandensein Conficker glaubt, das System sei bereits infiziert und deshalb keine Infektion durchführt. Bereits gestern präsentierten die beiden einen Scanner, der Conficker übers Netz an den Rückgabewerten bestimmter Funktionsaufrufe erkennt.
Und schließlich haben die Honeynet-Experten in Conficker dann doch noch eine Schwachstelle in Conficker entdeckt. Die Details dazu wollen sie allerdings in Absprache mit der Conficker Working Group vorläufig nicht veröffentlichen. Im veröffentlichten Paper heißt es nur noch ominös, dass die Originalversion ein Problem beschrieben habe, das sich "ausnutzen" lasse. Auf Nachfragen von heise Security, ob auf diesem Weg eventuell eine Reinigung übers Netz möglich sei, verwiesen die beiden auf eine Absprache mit der Conficker Working Group, die ihnen in dieser Angelegenheit jeden Kommentar untersagt.
Damals beim Sturmwurm haben die die Forscher aus rechtlichen und moralischen Erwägungen darauf verzichtet, selbst aktiv gegen die infizierten Zombies vorzugehen. Allerdings war das Sturmwurmnetz zu diesem Zeitpunkt auch bereits recht dezimiert und keine echte Bedrohung mehr. Anders präsentiert sich die Situation bei Conficker: Hier spricht man derzeit von mehreren Millionen infizierter Rechner und die internationale Security-Industrie hat sich zur Conficker Working Group zusammengeschlossen, um gegen den Wurm vorzugehen. Die hat bereits Tausende von Domains registriert, um ein Update von Conficker.A/B auf Version C zu verhindern und eine Prämie von 250.000 US-Dollar auf Hinweise zur Ergreifung der Hintermänner ausgesetzt. Man darf gespannt sein, ob sie jetzt auch Maßnahmen zur gezielten Ausschaltung des Wurms in Betracht ziehen.
Siehe dazu auch:
* Know Your Enemy: Containing Conficker (https://www.honeynet.org/papers/conficker), das Paper des Honeynet-Projekts
* Containing Conficker, Tools and Infos (http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/) von Felix Leder und Tillmann Werner
Quelle : www.heise.de
-
Die Angst vor Conficker hat nach Berichten mehrerer Antivirenhersteller nun erste Trittbrettfahrer auf den Plan gerufen. Diese versuchen vermeintliche Entfernungs-Tools für Conficker unter die Leute zu bringen. Laut F-Secure stößt man unter anderem bei der Google-Suche nach Conficker-Removal-Tools Recht schnell auf solche dubiosen Angebote, die viel versprechen und wenig halten – oder den PC erst recht mit einem Schädling infizieren.
Die Trittbrettfahrer stammen in der Regel aus dem Dunstkreis der Scareware-Hersteller, also Herstellern von Programmen, die den Anwender mit Hiobsbotschaften über den Zustand des PCs zum Kauf von funktionsloser Antivirensoftware bewegen wollen.
Die Suche auf Google können sich die Anwender aber sparen und gleich funktionierende und virenfreie Conficker-Removal-Tools kostenlos von den Seite der Antivirenhersteller laden. Unter anderem bieten Sophos, Symantec, F-Secure und Kaspersky und BitDefender derartige Programme an.
Apropos Tools: Nach der Veröffentlichung des Conficker-Scantools von Felix Leder und Tillmann Werner von der Uni Bonn, mit dem sich infizierte Systeme übers Netz aufspüren lassen, haben nun weitere Anbieter nachgezogen. Der Netzwerkscanner nmap unterstützt in der aktuellen Version (4.85BETA5) die Suche nach Conficker-verseuchten Rechnern. Die Zeile nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d ip-adresse soll dann den Test ausführen.
Tenable hat für Nessus ein "Conficker Detection"-Plug-in hinzugefügt. Der Sicherheitsdienstleister Qualys hat im Rahmen seines Online-Dienstes seit kurzem die Suche nach dem Wurm integriert. Der Hersteller nCircle bietet ebenfalls einen Conficker-Scanner für Netze an.
Quelle : http://www.heise.de/newsticker/Trittbrettfahrer-missbrauchen-Angst-vor-Conficker--/meldung/135515
-
Wie erwartet hat die C-Variante des Conficker-Wurms am heutigen Mittwoch ihre Versuche begonnen, Kontakt mit zahlreichen Webseiten aufzunehmen, um Updates herunterzuladen oder Befehle entgegenzunehmen. Ebenfalls wie erwartet hat dies aber weder zu Beeinträchtigungen des Internetverkehrs noch zu einem neuen Ausbruch geführt – was allerdings auch daran liegen kann, dass die Wurmautoren nach Angaben von F-Secure bislang keine Updates auf den Seiten hinterlegt haben.
Auch Thomas Hungenberg vom CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erklärte gegenüber heise Security, dass keine Hinweise vorliegen, "dass mit der aktuellen Variante des Schadprogramms Conficker infizierte Systeme erfolgreich Programmcode über einen der generierten Domainnamen aus dem Internet nachladen konnten."
Ob der Wurm aber überhaupt Gelegenheit hatte, die Seiten zu erreichen oder diese bereits von der Conficker Working Group (CWG) blockiert wurden, ist derzeit unklar. Die CWG gibt dazu auch keine Informationen heraus. Alternativ hat Conficker.C jedoch noch die Möglichkeit, über seine Peer-to-Peer-Funktion Kontakt mit anderen Conficker-infizierten Maschinen aufzunehmen und von dort Updates nachzuladen oder Befehle abzuholen. Hier ist nach Angaben von McAfee offenbar aber ebenfalls noch nicht viel passiert.
Ohnehin ist der Anteil von Conficker.C gemessen an der Gesamtverbreitung von Conficker relativ gering. Die C-Abkömmlinge sind aus einem Update der B-Variante hervorgegangen, als es einigen davon trotz der Blockade-Versuche der Conficker Working Group gelang, Kontakt mit Update-Seiten aufzunehmen.
Grund für eine Entwarnung gibt es aber nach Angaben des BSI dennoch nicht. Die mit der aktuellen sowie auch mit früheren Varianten des Schadprogramms infizierten Systeme versuchen auch nach dem 1. April täglich Programmcode nachzuladen. Die Wurmautoren können also weiterhin jederzeit ein Update hinterlegen oder einen Befehl für eine bestimmte Aktion geben. Dass sie dies unter den Augen der vorgewarnten Weltöffentlichkeit am 1. April tun, war sowieso unwahrscheinlich.
Quelle : www.heise.de
-
Der Wurm Conficker könnte mehr Rechner infiziert haben, als bisher angenommen wurde. Diese Befürchtung hat OpenDNS, ein Anbieter freier DNS-Dienste, geäußert. Dabei bezieht sich das Unternehmen auf eigene Zahlen.
OpenDNS hat rund 10 Millionen Kunden, von denen über 500.000 Anwender mit der jüngsten Variante des Conficker-Wurms, Conficker.C, infiziert wurden. Einen genauen prozentualen Anteil aller vom Conficker-Wurm betroffenen Anwender wollte OpenDNS aber nicht nennen. Das Unternehmen wies lediglich darauf hin, dass die Infektionen mit der Variante Conficker.C weit höher liegen, als vorab vermutet, so David Ulevitch, Gründer von OpenDNS.
Demnach habe Conficker.C am Mittwoch damit begonnen, einen neuen Algorithmus zu verwenden, um nach neuen Befehlen von seinem Macher Ausschau zu halten. Das hatte zunächst für die Befürchtung gesorgt, dass eine neue Attacke bevorsteht. Diese Befürchtung hat sich aber bisher nicht bestätigt und der Wurm verhält sich ruhig.
Bisherige Schätzung gehen davon aus, dass weltweit einige wenige Million bis zu 10 Millionen Rechner mit einer der Conficker-Varianten infiziert sind. Ulevitch ist allerdings der Meinung, dass die Zahl noch viel höher sein könnte, wenn man allein betrachte, wie viele Kunden bei OpenDNS betroffen sind. OpenDNS vertrete immerhin nur einen kleinen Anteil aller weltweit geschätzten 1,5 Milliarden Internet-Anwender.
OpenDNS hat die Conficker.C-Infektionen durch die Analyse spezieller DNS-Anfragen in ihrem Netzwerk ermittelt. Dabei wurde nach speziellen Mustern von DNS-Lookups Ausschau gehalten, die der Wurm verwendet. Bei dieser Analyse wurde aber nicht ermittelt, wie viele Rechner mit den älteren Varianten des Wurms Conficker.A und Conficker.B infiziert sind.
Laut den Zahlen von OpenDNS ist Vietnam das Land, das am härtesten vom Conficker-Wurm getroffen wurde. 13 Prozent aller Infektionen fanden in Vietnam statt. Es folgen Brasilien, Philippinen, Indonesien und Algerien.
Quelle : www.pcwelt.de
-
Joe Stewart von SecureWorks hat einen einfachen Test entwickelt, der auf einen Blick zeigt, ob ein System mit einer der weit verbreiteten Conficker-Versionen infiziert ist. heise Security stellt eine deutsche Version dieser Testseite bereit.
(http://www.heise.de/bilder/135687/0/0)
Fehlen auf der Testseite wie hier bestimmte Bilder, ist das System wahrscheinlich infiziert.
Wenn man den Verdacht hat, dass ein System mit Conficker infiziert ist, kann man der installierten Antiviren-Software nicht mehr vertrauen. Denn die Schadsoftware beendet eine Reihe von Sicherheitsdiensten und verhindert den Start bestimmter Programme. Der neue Test beruht auf der Tatsache, dass Conficker den Zugriff auf diverse Sicherheits- und Antiviren-Seiten blockiert. Dazu bindet eine Seite Bilder von normalen und von blockierten Sites ein. Erscheinen nur die Bilder der AV-Hersteller nicht, ist die Wahrscheinlichkeit hoch, dass der Rechner mit Conficker infiziert ist – oder einem anderen Schädling, der sich ähnlich verhält.
Auf jeden Fall ist es dann eine gute Idee, dem System beispielsweise mit Knoppicillin zu Leibe zu rücken, oder zumindest eines der Conficker-Removal-Tools zu Rate zu ziehen. Dabei sollte man allerdings keinesfalls blindlings dem ersten Suchergebnis folgen, sondern gezielt einen vertrauenswürdigen Hersteller ansteuern (siehe: Trittbrettfahrer missbrauchen Angst vor Conficker).
Der Test hat allerdings einige Einschränkungen, die man beachten muss. So filtert Conficker Zugriffe, indem er sich in dnsapi.dll einklinkt und dort DNS-Anfragen blockiert. Das betrifft Anwender, die einen Proxy einsetzen, nicht. Damit eignet sich der Test unter anderem nicht für den Einsatz in Firmennetzen. Dort empfiehlt sich der Einsatz eines Netzwerk-Scanners, der Conficker erkennen kann.
Außerdem blockierte die Ur-Version Conficker.A noch keine DNS-Anfragen, sodass man eine Infektion damit über die Testseite nicht entdecken kann. Allerdings ist Conficker.A im Vergleich zu seinen Nachfolgern Conficker.B/C nicht sonderlich weit verbreitet.
Fast schon peinlich ist allerdings, dass die Conficker Working Group einfach den Originaltest von Stewart übernommen hat, ohne einen Hinweis auf die fehlende Erkennung von Conficker.A zu ergänzen. Statt dessen findet sich dort die irreführende Erklärung: "Not Infected by Conficker". Man sollte eigentlich meinen, dass eine solche Organisation, in der sich Microsoft und alle namhaften AV-Hersteller engagieren, ihre Tests vor der Veröffentlichung auch testet.
Felix Leder und Tillmann Werner, die beiden Autoren der Honeynet-Conficker-Analyse, haben ebenfalls einen Test entwickelt, der auf den durch Conficker blockierten DNS-Anfragen beruht. Sie setzen CSS-Stylesheets ein, um eine Diagnose auf möglichen Conficker.B/C-Befall zu stellen.
Siehe dazu auch:
* Conficker-Test (http://www.heise.de/security/dienste/browsercheck/tests/conficker/conficker.shtml) auf heise Security
Quelle : www.heise.de
-
Der Conficker-Wurm ist offenbar stärker verbreitet als bisher angenommen. Dies vermeldet zumindest Internet Security Systems (ISS), die Sicherheits-Sparte des IT-Konzerns IBM.
Binnen 24 Stunden haben die Experten von ISS demnach rund 2 Millionen Rechner im Internet gescannt und nach Spuren von Conficker gesucht. Das Ergebnis: 4 Prozent der Rechner waren befallen. Auch wenn man bedenkt, dass es sich um den aggressivsten Wurm der letzten Jahre handelt, überraschten diese Zahlen.
"Das ist mehr, als wir erwartet haben. Ich nahm an, letztlich einen Wert von 1 bis 2 Prozent zu erhalten", sagte Holly Stewart, Sicherheitsexperte bei ISS. Gesucht wurde dabei nach der neuesten Version Conficker.C, die nach selbstständigen Updates der Malware aktuell am aktivsten ist.
Schätzungen zur Verbreitung gingen nach absoluten Zahlen bisher von einigen hunderttausend bis maximal 4 Millionen befallenen Systemen aus. Rechnet man die Untersuchungsergebnisse von ISS auf die Gesamtzahl der Windows-PCs im Internet hoch, dürften es aber doch einige zehn Millionen sein.
Es könnte zwar sein, räumen die Experten ein, dass man zufällig ein Spektrum an IP-Adressen scannte, in dem die besonders anfälligen privaten Breitbandnutzer überdurchschnittlich hoch vertreten sind. Doch auch dann wäre die Zahl der infizierten Systeme immens hoch und auf jeden Fall im obersten Bereich der bisherigen Schätzungen anzusiedeln.
Quelle : http://winfuture.de
-
Die Autoren des Neeris-Wurms versuchen offenbar, die erfolgreiche Verbreitung von Conficker zu kopieren. Nach Angaben von Microsoft tauchte jetzt eine neue Version dieses Schädlings auf.
Neeris ist ein relativ alter Wurm. Erstmals war er im Jahr 2005 im Umlauf. Jetzt ist eine veränderte Variante aufgetaucht, die die gleiche Sicherheitslücke wie Conficker zur Verbreitung nutzt. Microsoft behob die Schwachstelle zwar bereits im letzten Jahr, allerdings ist der Patch auf vielen Rechnern wohl noch nicht eingespielt.
Ebenso wie Conficker kann die neue Neeris-Version PCs aber auch über die Autostart-Funktion von USB-Sticks befallen. Die ersten Infektionen mit dem Wurm wurden am 31. März registriert. Offenbar wollten die Autoren die erwarteten - aber ausbleibenden - massiven Angriffe Confickers am 1. April nutzen, um selbst unbemerkt schneller Verbreitung zu finden.
In seiner ursprünglichen Fassung trug Neeris einen Bot für den Internet Relay Chat (IRC) mit sich und befiel Rechner über eine Schwachstelle im MSN Messenger. Im Laufe der Zeit kamen weitere Verbreitungsmechanismen hinzu - seine Hauptaufgabe, als Bot IRC-Channels offen zu halten, übt Neeris aber weiterhin aus.
Quelle : http://winfuture.de
-
Ab sofort bietet heise Security eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Web-Seiten, die versuchen, eine Infektion zu diagnostizieren, sowie zu Reinigungs-Tools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.
Microsoft und die Hersteller von Antiviren-Software haben sich in der Conficker Workinggroup zusammengeschlossen. Sie bieten ebenfalls eine zentrale Anlaufstelle unter www.confickerworkinggroup.org mit Informationen zu dem Windows-Wurm und einem Web-Test.
Da der Domainname den Begriff conficker enthält, wird der Zugriff auf www.confickerworkinggroup.org jedoch durch den Schädling blockiert, sodass Betroffene diese Seiten unter Umständen nicht erreichen können. Diese Information wurde Anfang März publiziert; Microsoft dokumentiert es in seiner Conficker-Analyse. Die Domain "confickerworkinggroup.org" wurde laut whois am 26. März registriert.
Siehe dazu auch:
* Die heise Security Infoseite zu Conficker (http://www.heise.de/security/Die-Infoseite-zu-Conficker--/artikel/135725)
Quelle : www.heise.de
-
Nach Angaben von Trend Micro hat der Wurm Conficker.C (respektive Downad) jetzt doch begonnen, Updates nachzuladen – allerdings nicht über die von vielen beobachteten Webseiten, sondern über seine Peer-to-Peer-Funktion. Darauf gestoßen waren die Experten durch die Beobachtung des Windows-Temp-Ordners und des Netzwerkverkehrs eines infizierten Systems. Anders als Conficker.A und .B kann Version .C mit anderen infizierten Systemen ein P2P-Netz etablieren und so weitere Programme nachladen und Befehle entgegennehmen. Laut Trend Micro ist der P2P-Betrieb jetzt in vollem Gange.
In diesem Fall holte sich das untersuchte System sein verschlüsseltes Update von einem P2P-Node in Korea und installierte es. Damit verwandelt sich der Wurm laut Trend Micro in die E-Variante, die neue Eigenschaften aufweist. Unter anderem versucht sie auf einem System alle Spuren zu verwischen, in dem sie etwa bisherige Registry-Einträge löscht und fortan mit zufälligen Dateinamen und Dienstnamen arbeitet. Zudem öffnet der Wurm nun den Port 5114 und lauscht mit einem eingebauten HTTP-Server auf Verbindungsanfragen. Zusätzlich nimmt er Verbindungen mit den Domains myspace.com, msn.com, ebay.com, cnn.com und aol.com auf, um zu testen, ob eine Verbindung ins Internet besteht.
Der Wurm soll sich nur noch über die Windows-Sicherheitslücke verbreiten. Nach Angaben von BitDefender blockiert die neue Variante nicht nur den Zugang zu den Web-Seiten der Antivirus-Hersteller, sondern auch den Zugriff auf kürzlich angekündigte Web-Seiten mit Removal-Tools, welche die vorherigen Versionen des Conficker-Wurms beseitigen konnten. Davon betroffen ist laut BitDefender schon die Tool-Seite von BitDefender (http://bdtools.net) sowie Internetseiten anderer Anbieter.
Laut den Analysen soll sich Downad/Conficker in der neuesten Fassung aber am 3. Mai 2009 deaktivieren. Ob er bis dahin ein neues Update zieht, ist unklar. Zudem haben die Virenspezialisten vereinzelte Verbindungen zu Domains beobachtet, die in Verbindung mit dem Botnet Waledac stehen. Auch Symantec hat ähnliche Beobachtungen gemacht. Eine vom Conficker heruntergeladene Datei (484528750.exe) soll den Bot Waledac enthalten haben. Bislang wollen sich aber weder Trend Micro noch Symantec näher zu der Verbindung von Conficker und Waledac äußern.
heise Security bietet eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Tests, die eine Infektion diagnostizieren können, darunter auch eine neue heise-Security-Seite mit einem noch weiter vereinfachten Test. Zudem finden Sie dort Links zu Reinigungstools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.
Quelle : www.heise.de
-
Es wurde spekuliert, gewartet und durchgeschnauft: Bislang beschränkte sich der äußerst intelligent programmierte Conficker-Wurm vor allem auf Selbstschutzmaßnahmen, etwa indem er unterschiedliche Kommunikationswege öffnet (Conficker.C kann Peer-to-Peer-Netze mit anderen infizierten Systemen aufbauen), um sich mit nachgeladenem Code selbst zu modifizieren, oder indem er sich aktiv gegen Antiviren-Software und Sicherheitsanalyse-Tools zur Wehr setzt. Selbst am 1. April, der Tag, von dem man wusste, dass Conficker.C nach Updates suchen würde, passierte so gut wie nichts. Jetzt aber kommt erstmals Geld ins Spiel: Auf Rechner, die mit dem Conficker-Wurm infiziert sind, wird das Programm "SpywareProtect2009" geladen, eine sogenannte Scareware.
(http://www.heise.de/bilder/136083/0/1)
Mit Scareware-Produkten wie "Antivirus 2009", "Malwarecore", "WinDefender", "WinSpywareProtect", "XPDefender" oder aber eben "SpywareProtect2009" verdienen Betrüger viel Geld. Zunächst wird dem Anwender ein kleines Programm untergejubelt, das nervige Pop-up-Informationen über eine angebliche Infektion des PCs anzeigt – solange, bis unbedarfte Anwender weichgekocht sind und Geld für dubiose Antiviren-Produkte zahlen, die meist mit Namen aufwarten, von denen man glaubt, sie schon einmal gehört zu haben. Wer Glück hat, ist sein Geld los, dafür aber aus dem Spiel – wer Pech hat, lädt mit der erworbenen Software nun tatsächlich Schädlinge auf den PC, die ihn dann womöglich in einen Bot verwandeln, um darüber Spam zu versenden. Microsoft etwa säuberte Ende vergangenen Jahres über das Malicious Software Removal Tool (MSRT) in kurzer Zeit fast eine Million Windows-PC von Scareware. Weitere Informationen liefert der heise-Security-Artikel Scharlatane und Hochstapler.
Einer Analyse der Kaspersky Labs zufolge tauschen die infizierten Zombies über die Peer-2-Peer-Strukturen neben dem Conficker-Update auch die Adresse von Servern in der Ukraine aus, von denen sie dann "SpywareProtect2009" herunterladen und installieren. Das entdeckt dann natürlich diverse Bedrohungen, deren Entfernung den Anwender 49,95 US-Dollar kosten soll, die man via Visa oder Mastercard entrichten kann. Die Ukraine spielte übrigens bereits früher eine Rolle: Conficker.A enthielt einen sogenannten "Selbstmordschalter", der immer dann in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.
Außerdem berichtet Felix Leder von der Uni Bonn, der gemeinsam mit seinem Kollegen Tillmann Werner von der Universität Bonn zuletzt durch die Entmystifizierung des Conficker-Wurms von sich reden machte, dass die neue Conficker-Variante weitere Domains blockiert. Unter anderem gehört dazu der Server der Uni Bonn mit dem Conficker-Test. Dieser ist deshalb vorläufig umgezogen.
Quelle : www.heise.de
-
Trotz der umfassenden Berichterstattung über den Wurm Conficker lassen die bisher ergriffenen Sicherungsmaßnahmen durch die Nutzer zu wünschen übrig. Das bemängelt das Sicherheitsunternehmen Qualys.
Selbst in Unternehmen ist das Bewusstsein über die notwendigen Schutzmaßnahmen unter den Verantwortlichen noch recht gering ausgeprägt. Etwa jeder fünfte PC an Firmenarbeitsplätzen ist noch nicht mit dem bereits im Oktober 2008 bereitgestellten Patch ausgestattet, der ein von Conficker ausgenutztes Sicherheitsproblem behebt.
Den Anteil habe das Unternehmen nach eigenen Angaben durch eine automatisierte Prüfung von 300.000 PCs bei seinen Kunden herausgefunden. Es sei allerdings nicht so, dass die Administratoren nichts von Conficker gehört hätten. Als verstärkte Aktivitäten Confickers für den 1. April angekündigt wurden, wurden vier mal mehr Systeme als üblich in den Firmen auf Infektionen gescannt - der Patch aber meist weiterhin nicht eingespielt.
Einen positiven Trend gibt es jedoch, betonten die Sicherheitsexperten von Qualys. Demnach lag der Anteil ungepatchter Rechner vor einigen Wochen noch deutlich höher. Die Berichterstattung führte demnach immerhin dazu, dass der Anteil von Rechnern ohne Aktualisierung seit Ende März von 40 auf rund 20 Prozent sank.
Quelle : http://winfuture.de
-
Der neueste Trick von Kido sind Fenster, die ständig von alleine geöffnet werden und die die Betoffenen dazu auffordern, ihren Computer für rund 50 US-Dollar vom nervigen Schadprogramm bereinigen zu lassen. Daneben entwickelt sich der Wurm zu einer extrem effektiven Spam-Schleuder: Bei derzeit zirka fünf Millionen infizierten Computern können in nur 24 Stunden 400 Milliarden Spam-Nachrichten verschickt werden. Der Conficker droht damit zur nächsten Seuche im Web zu mutieren.
Kaspersky Lab warnt neben zahlreichen anderen Herstellern vor einer neuen Version von Kido, auch bekannt als Conficker oder Downadup. In der Nacht von Gründonnerstag nahmen Rechner, die mit Trojan-Downloader.Win32.Kido (Conficker.c) infiziert waren, über Peer-to-Peer-Verbindungen Kontakt miteinander auf. Die infizierten Maschinen erhielten die Anweisung, Updates herunterzuladen und damit das Kido-Botnet zu aktivieren.
Die neue Kido-Modifikation weist einen signifikanten Unterschied zu seinen Vorgängern auf: Nachdem er als Wurm so viele Opfer wie möglich infiziert hat, wird er zu einem Trojan-Downloader, um am Ende wieder die Form eines Wurms anzunehmen. Die Hersteller der Antivirensoftware gehen davon aus, dass Kido seine gefährliche Funktion nur bis zum 3. Mai 2009 beibehalten wird. Doch Kido lädt nun nicht nur Updates der eigenen Schadsoftware auf die infizierten Rechner, sondern auch zwei neue infizierte Dateien. Bei der einen Datei handelt es sich um eine bösartige Antiviren-Applikation, auch Scareware genannt. Sobald das Programm läuft, poppt beim Opfer in regelmäßigen Abständen ein Fenster auf, die dem User mitteilt, dass sein Rechner infiziert sei. Er erhält dabei die Möglichkeit, die angeblich entdeckten Viren zu einem Preis von 49,95 US-Dollar löschen zu lassen. FraudTool.Win32.SpywareProtect2009.s wird über ukrainische Webseiten verbreitet und ist so lästig, dass voraussichtlich viele User auf das Desinfizierungs-Angebot klicken werden. Die zweite Datei, die Kido auf die infizierten Rechner lädt, ist ein E-Mail-Wurm namens Iksmas, der auch als Waledac bekannt ist. Worm.Win32.Iksmas.atz, der im Januar 2009 entdeckt wurde, stiehlt Daten und verschickt Spam. Schon damals bemerkten viele IT-Experten eine Ähnlichkeit zwischen Kido und Iksmas. Die Kido-Epidemie ist mit der von Iksmas ausgelösten E-Mail-Epidemie, vergleichbar. Während einer Zeitspanne von zwölf Stunden nahm Iksmas mehrmals Kontakt zu weltweit verteilten Kontrollzentren auf. Er erhielt von dort den Befehl, Spam-Mails zu verschicken. In nur zwölf Stunden verschickte ein einziger Bot 42.298 Junkmails. Nahezu jede E-Mail enthielt ihre eigene Domain. Dies wurde offensichtlich mit der Absicht getan, die Spam-Filter beim Aufspüren der Massennachrichten zu hindern. Die Filter analysieren dabei die Frequenz, mit der eine spezifische Domain benutzt wird. Insgesamt wurden 40.542 Domains des dritten Levels und 33 des zweiten entdeckt. Praktisch alle Seiten waren in China registriert - wahrscheinlich mit falschem Namen und Adresse.
Eine simple Kalkulation zeigt, dass ein Iksmas-Bot rund 80.000 E-Mails in 24 Stunden verschicken kann. Angenommen, es gibt wirklich bis zu fünf Millionen infizierte Rechner da draußen, so könnte das Botnet laut Kalkulationen von Kaspersky Lab ungefähr 400 Milliarden Spam-Nachrichten in nur 24 Stunden verschicken. Eine wahre Flut an unerwünschten Nachrichten wird erneut durchs Netz gehen. Man darf gespannt sein, was sich die findigen Programmierer als Nächstes einfallen lassen. Die Wurmkur zum Preis von 50 Dollar werden so viele Personen in Anspruch nehmen, dass sich die aufwendige Entwicklung der neuartigen und überaus flexiblen Schadware lohnt. Bei derartigen Gewinnaussichten bleibt kritisch abzuwarten, ob man den Wurm tatsächlich Anfang Mai wieder freiwillig deaktivieren wird.
Quelle : www.gulli.com
-
Die Conficker Working Group (CWG), in der eine Reihe von IT-Unternehmen zusammengeschlossen sind, hat jetzt eigene Zahlen zu der Verbreitung des Conficker-Wurmes bereitgestellt.
Demnach liegen die Schätzungen verschiedener einzelner Sicherheits-Dienstleister, die von bis zu 12 Millionen infizierten Systemen sprachen, klar zu hoch. Dies ändert aber nichts daran, dass Conficker das derzeit wohl größte Botnetz aufgebaut hat.
Nach einer Analyse der Gruppe sind 4,6 Millionen einzelne IP-Adressen registriert worden, hinter denen infizierte Rechner stehen. Der Großteil davon - 3,4 Millionen - ist allerdings noch mit den älteren Versionen A und B ausgestattet. Die neuere und aggressivere Variante Conficker C ist demnach auf 1,2 Millionen Systemen zu finden.
Die höchsten Infektionsraten sind nach Angaben der Sicherheitsexperten in China, Brasilien und Russland zu finden. "Wir hoffen, dass die Veröffentlichung dieser Zahlen etwas mehr Sachlichkeit in das Thema bringt", sagte Andre DiMino, Mitbegründer der "Shadowserver Foundation", die auch in der CWG mitarbeitet.
Allerdings muss auch DiMino einräumen, dass die Zählmethode nicht perfekt ist. Da man die IP-Adressen zählt, auf denen eine Conficker-Infektion angemessen werden kann, würden Privatnutzer mit wechselnden, dynamischen IP-Adressen eine höhere Infektionsrate vorgaukeln. Firmen, bei denen sich mehrere Rechner hinter einer einzelnen Adresse verbergen, würden dies aber voraussichtlich wieder ausgleichen.
Die CWG wurde vor einiger Zeit von Microsoft ins Leben gerufen. Ihr gehören unter anderem AOL, die ICANN, Verisign und eine Reihe anderer bedeutender IT-Firmen und -Organisationen an. Die Gruppe arbeitet unter anderem daran, Conficker-infizierten PCs den Zugang zu Servern zu verwehren, auf denen der Wurm nach Updates und neuen Befehlen sucht.
Quelle : www.gulli.com
-
Der Wurm Conficker hat offenbar mehrere Hundert PCs und wichtige medizinische Apparate in einer Reihe von Krankenhäusern infiziert. Dies sagte der Sicherheitsexperte Marcus Sachs anlässlich der RSA Konferenz dem US-Portal 'Cnet'.
Sachs, Chef des SANS Internet Storm Center (ISC), warnte davor, die von Internet-Würmern ausgehende Gefahr zu unterschätzen. Zwar sei die Infektion im Falle der Krankenhäuser nicht weit verbreitet gewesen, das Problem habe aber auch ohne weiteres zahllose andere Rechner, die für kritische Infrastruktur oder medizinischen Versorgung notwenig sind, betreffen können.
Bisher sei unklar, wie genau der Wurm auf die Systeme gelangen konnte. Es handelte sich um Rechner verschiedenster Art, die unter anderem zur Steuerung von Überwachungssystemen wie Herz-Monitoren oder auch Untersuchungsgeräten wie Magnetresonanztomographen eingesetzt sind.
Die PCs waren allesamt älteren Baujahrs und laufen mit Windows NT und Windows 2000 in einem lokalen Netzwerk, das eigentlich keinen Internetzugang haben soll. Da es aber offenbar eine Verbindung zu einem anderen Netzwerk mit Internetzugriff gab, gelangte der Wurm in das geschlossene Netz. Nach Angaben von Sachs waren die Systeme einfach zu alt, um von dem von Microsoft veröffentlichen Patch gegen Conficker zu profitieren.
Quelle : http://winfuture.de
-
Bisher sei unklar, wie genau der Wurm auf die Systeme gelangen konnte.
...per Datenträgeraustausch.
Also z.B. mit Röntgenbildern oder Blutwerte-Tabellen per CD-ROM, USB-Stick oder von mir aus vielleicht auch über die Gesundheitskarte...
Oder über den Laptop oder das Handy irgendeines "Halbgottes in Weiss" mit Langeweile...
-
Der Conficker-Wurm, der seit dem letzten Dezember zahlreiche Rechner befiel, erhält nun die ersten praktischen Aufgaben von seinen Autoren. Bisher verbreitete er sich nur, verhielt sich ansonsten aber ruhig.
Der Wurm schloss die infizierten PCs zu einem Botnetz zusammen. Da er regelmäßig nach Updates sucht und so stetig verändert und gesteuert werden kann, kann dieses für verschiedene Aufgaben genutzt werden. Ein Teil der von Conficker gekaperten PCs beginnt nun mit dem Versand von Spam, teilte das Sicherheitsunternehmen Symantec mit.
Allerdings überlässt der Wurm die eigentliche Arbeit einem anderen Schädling. Auf dem jeweiligen Rechner installiert er lediglich den Trojaner Waledac, der die Systeme in ein zweites Botnetz einbindet. Dieses ist bereits länger bekannt und wird hauptsächlich von Spammern verwandt.
"Das geht aber nicht schnell und aggressiv vor sich", sagte Vincent Weafer, Vice President bei Symantec Security Response. Am 3. Mai stellt Conficker sogar seine Unterstützung für Waledac wieder ein. Andere Aufgaben werden zwar voraussichtlich folgen, allerdings zeigt sich, dass die befürchteten Probleme bei einer plötzlichen Aktivierung des Wurms - wie sie verschiedentlich heraufbeschworen wurden - wohl nicht eintreten.
Quelle : http://winfuture.de
-
Vom Conficker-Virus befallene Rechner im medizinischen Einsatz in verschiedenen US-Kliniken konnten aufgrund staatlicher Vorschriften nicht unverzüglich von der Schadsoftware befreit werden. Der Fall heizt die Diskussion um das von der US-Regierung forcierte Programm für mehr Cybersicherheit weiter an.
Wie Rodney Joffe, einer der Gründer der Conficker Working Group, gegenüber dem Nachrichtensender CBS erklärte, seien die betroffenen Computer unter anderem für die Berechnung und Analyse von Bildern in der Magnet-Resonanz-Tomografie (MRT) verwendet worden. Speziell für das Gesundheitswesen ausgearbeitete Vorschriften, die eigentlich dem Schutz von Patienten und Ärzten gelten, hielten die Krankenhäuser jedoch davon ab, die infizierten Rechner zu reinigen – in derartigen Fällen gelten Wartefristen von bis zu 90 Tagen, bevor die Systeme "manipuliert" werden dürften.
Den Behörden teilte Joffe mit, seine Organisation habe in den vergangenen drei Wochen über 300 kritische medizinische Systeme ausgemacht, die allesamt infiziert seien und alle vom gleichen Hersteller stammten. Die Rechner seien zudem vielfach nicht nur in unmittelbarer Nähe oder sogar direkt auf Intensivstationen der Kliniken im Einsatz, sondern außerdem über lokale Netzwerke mit dem Internet verbunden. Derart kritische Systeme dürften keinesfalls an das Internet gekoppelt werden, warnte Joffe.
Joffe lehnte in diesem Zusammenhang auch die Pläne der Obama-Regierung für ein neues US-Stromnetz ab. Wie eine Studie des US-Sicherheitsunternehmens IOActive gezeigt hatte, weisen die für den dortigen Einsatz geplanten Systeme erhebliche Sicherheitslücken auf, die Cyberattacken Tür und Tor öffnen könnten. Joffe wiederholte daher seine Forderungen, das U.S. Computer Emergency Readiness Team des Department of Homeland Security als Aufsichtsbehörde für Cybersecurity sowohl personell wie auch finanziell in die Lage zu versetzen, seine Aufgabe erfüllen zu können – unter der Kontrolle durch die Regierung.
Quelle : www.heise.de
-
Die Conficker-Pandemie ist noch nicht gestoppt. Immer noch werden weltweit schätzungsweise 50.000 Rechner jeden Tag von Conficker angegriffen und infiziert. In Firmennetzen hält sich der Schädling hartnäckig.
Der Schädling Conficker (Alias: Downadup, Kido) ist zwar weitgehend aus den Schlagzeilen verschwunden, jedoch immer noch recht rege. Forscher des Antivirusherstellers Symantec schätzen, dass jeden Tag etwa 50.000 Computer mit Conficker infiziert werden und die Seuche weiter tragen. Unternehmen kämpfen darum ihre Netzwerke sauber zu bekommen, werden jedoch in ihren Bemühungen immer wieder zurück geworfen.
Im Blog "View From The Bunker" berichten Symantec-Forscher, die Länder mit den meisten Conficker-Infektionen seien die USA, Brasilien und Indien. Sie haben eine Karte erstellt, die die weltweite Verbreitung des Schädlings seit Februar dieses Jahres zeigt. Demnach ist Europa weniger stark betroffen als etwa Asien oder Amerika. Nur Italien und Großbritannien zeigen höhere Infektionsraten.
Das sollte jedoch nicht darüber hinweg täuschen, dass auch Privatanwender und Unternehmen in Deutschland immer noch von Conficker geplagt sind. In Unternehmen versuchen die IT-Abteilungen die Infektionen in den Griff zu bekommen, scheitern jedoch immer wieder daran, dass verseuchte Notebooks und USB-Sticks unkontrolliert ans Netz angeschlossen werden, bevor sie gesäubert werden konnten.
Rick Wesson, Mitglied der Conficker Working Group, weiß von großen Firmen, die bereits Millionen US-Dollar aufgewendet haben, um Conficker aus ihren Netzwerken zu bekommen. Zu den Betroffenen zählten viele der so genannten "Fortune 1000" - praktisch jeder sei betroffen, so Wesson. Sogar Microsoft habe noch damit zu kämpfen.
Befürchtungen, das mutmaßlich mehrere Millionen Rechner umfassende Conficker-Botnet könnte nach dem 1. April große Angriffswellen starten, haben sich indes nicht bewahrheitet. Das Botnet sei kaum nennenswert genutzt worden, meint Andre DiMino, Mitbegründer der Shadowserver-Stiftung. Viele hätten Conficker inzwischen als erledigt abgetan, der Schädling sei jedoch noch lange nicht tot.
Eugene Kaspersky, Gründer und Chef des gleichnamigen Antivirusherstellers, hat einen gewissen Respekt vor der Professionalität der Conficker-Bande geäußert. Er sei sich recht sicher, dass Conficker von der Ukraine aus gesteuert werde, beweisen könne er dies jedoch nicht. Es könnte jedoch schlimmer sein, meint Kaspersky, denn es seien nur Online-Kriminelle, die Geld machen wollten, nichts Übleres.
Quelle : www.pcwelt.de
-
Er ist immer noch da und er legt offenbar wieder los: Der Windows-Wurm Conficker. War es zwischenzeitlich recht still um ihn geworden, ist die Zahl der infizierten Systeme nach der Statistik der Conficker Working Group (CWG) im Juni von etwas über vier Millionen (unique IPs) auf über fünf Millionen gestiegen. Die A-Variante ist allerdings etwas wählerisch: Sie greift keine Windows-Systeme an, die in der Ukraine beheimatet sind.
Um den Standort des anzugreifenden Rechners festzustellen, versucht Conficker sogenannte Geo-IP-Datenbanken abzufragen, die eine ungefähre Zuordnung der IP-Adresse zur Lage ermöglichen. Konkret greift Conficker.A auf die Geo-Datenbank der Firma MaxMind zu, die ihren Server allerdings kurz nach Ausbruch des Wurms auf eine andere Adresse verschob, um weitere Abfragen zu verhindern.
Dass der Wurm aber weiterhin die festcodierte Adresse aufruft, machen sich nun die Bonner Forscher Felix Leder und Tillmann Werner für die Eindämmung zunutze. Dazu haben sie eine Datenbank entwickelt und unter der von MaxMind zur Verfügung gestellte Adresse in Betrieb genommen. Die Datenbank gibt für jede abgefragte Adresse als Standort die Ukraine zurück. In der Folge wird das ausgesuchte System nicht angegriffen und nicht infiziert.
"Aktuell beobachten wir Millionen von Zugriffen pro Tag", berichtet Tillmann Werner. "Wie stark die Anzahl an Infektionen zurückgehen wird, müssen wir abwarten. Auf jeden Fall haben wir einen kleinen Teil dazu beigetragen, die Ausbreitung zu unterbinden." In der Tat stagniert die Zahl der infizierten Systeme seit dem vergangenen Wochenende nicht nur, sondern geht sogar zurück.
Nach Meinung der Forscher sei es nun wichtig, bereits infizierte Systeme zu bereinigen, damit die Infektion nicht wieder aufflackern kann. Dazu haben sie unter der Adresse http://four.cs.uni-bonn.de/conficker (http://four.cs.uni-bonn.de/conficker) einige Hilfsprogramme zusammengestellt. Leder und Tillmann hatten bereits Anfang des Jahres eine Analyse des Wurms und Tools zum Aufspüren veröffentlicht.
Quelle : www.heise.de (http://www.heise.de)
-
Der Wurm Conficker ist noch immer aktiv und richtet Unheil an. Nun hat es die Universität Oxford Brookes erwischt - betroffen waren vor allem öffentlich zugängliche PCs.
Es ist ruhig geworden um den Wurm Conficker, der es Anfang des Jahres noch in die Schlagzeilen der internationalen Tagespresse geschafft hat. Eine Infektion an der Universität Oxford Brookes zeigt allerdings, dass die Malware noch immer quicklebendig ist. Die Vertreter der Universität sahen sich gezwungen, einen Großteil des Netzwerks lahm zu legen, um die Infektion zu bekämpfen.
Es ist allerdings verwunderlich, dass Conficker nicht mehr Aufsehen erregt. Denn der Wurm ist zwar aus den Schlagzeilen verschwunden ist aber immer noch aktiv. Wie die Statistik der Conficker Working Group zeigt, waren am 03. Oktober 2009 noch immer 5,857,091 eindeutige IPs zu identifizieren, die von dem Wurm befallen sind.
Welchem Zweck diese massive Rechenpower dient, bleibt aber weiterhin im Unklaren. Vor einigen gab es Anzeichen, dass Conficker für die Verbreitung von Scareware genutzt wird, konkrete Informationen waren in letzter Zeit aber selten geworden.
Quelle : www.tecchannel.de
-
Massenhaft versandte Spam-Mails enthalten vorgebliche Warnungen vor dem Conficker-Wurm. Sie bringen einen schädlichen Anhang mit - ein Trojanisches Pferd, das Scareware installieren soll.
Die derzeitige Welle von Spam-artig verbreiteten Mails mit Malware setzt sich weiter fort. Während immer noch vorwiegend falsche Konfigurationsaufforderungen für Outlook verschickt werden, sind unter diesen Mails auch solche, die vor dem Conficker-Wurm warnen. Sie enthalten im Anhang ein ZIP-Archiv mit Malware. Diese lädt ein betrügerisches Schutzprogramm auf den Rechner, so genannte Scareware.
Die Mails kommen mit einem Betreff wie "Conflicker.B Infection Alert" und der gefälschten Absenderangabe "Microsoft Windows Agent". Im Text der Mails heißt es, der Wurm Conficker habe seit 18. Oktober begonnen Microsoft Kunden ungewöhnlich schnell zu infizieren. Im Anhang soll sich demnach ein Programm für einen "free system scan" befinden, das alle infizierten Dateien säubern soll. Die Empfänger werden aufgefordert das Programm zu installieren.
Der Anhang besteht aus einem etwa 30 KB großen, komprimierten ZIP-Archiv namens "install.zip". Es enthält die Programmdatei "install.exe" (44 KB). Dabei handelt es sich um einen Schädling - ein Trojanisches Pferd, das Scareware namens "Antivirus Pro 2010" aus dem Internet herunter lädt und installiert. Die soll den Anwender mit vorgetäuschten Virenfunden zum Kauf einer teuren und nutzlosen Vollversion des Programms nötigen.
Microsoft wie auch andere seriöse Software-Hersteller versenden niemals unaufgefordert Programmdateien per Mail. Falls Sie derartige Mails erhalten, öffnen Sie den Anhang nicht und löschen Sie die Mails.
Quelle : www.tecchannel.de
-
Der bekannte Internet-Wurm Conficker hat einen fragwürdigen Meilenstein erreicht. Innerhalb von einem Jahr konnte er sieben Millionen PCs infizieren, fanden die Forscher von der Shadowserver Foundation heraus.
Obwohl Conficker allgemein bekannt ist, gibt es noch immer viele Systeme, auf denen sich der Wurm einnisten kann. Sicherheitsexperten gehen davon aus, dass es sich dabei in den meisten Fällen um Windows-PCs ohne gültige Lizenz handelt. Diese Maschinen können keine Patches über Windows Update herunterladen, die das Problem beseitigen würden.
Trotz seiner massenhaften Verbreitung, haben die Conficker-Autoren bislang kaum etwas Nützliches mit ihrer Macht angestellt. Laut der 'Conficker Working Group' könnte der Urheber Angst bekommen haben, nachdem seine kleine Entwicklung so viel Aufmerksamkeit bekommen hat. Sollte der Schuldige jemals gefunden werden, blüht ihm eine hohe Strafe, da der bislang verursachte Schaden kaum noch zu überschauen ist.
Conficker hat ein gewaltiges Botnetz aufgebaut, das nur darauf wartet, eine Aufgabe ausführen zu dürfen. Die Rechenleistung, die hinter diesem Netzwerk steht, übersteigt die Leistung aller Supercomputer. Ganze Netzwerke würden sich mit einem Angriff lahmlegen lassen.
Quelle : http://winfuture.de
-
Der vieldiskutierte Computerschädling Conficker ist nach Angaben von Sicherheitsexperten trotz zahlreicher Gegenmaßnahmen noch immer auf 6,5 Millionen Computern weltweit installiert.
Die neue Statistikseite (http://www.shadowserver.org/wiki/pmwiki.php/Stats/Conficker) der ShadowServer Foundation zeigt die Verbreitung des Wurms. "Unser vorrangiges Ziel ist es, zu zeigen, wie weit und wie umfassend Conficker sich verbreitet hat und wo er wirklich Fuß gefasst hat," erklärt André DiMino, Gründer und Direktor der ShadowServer Foundation. Die Daten wurden von zahlreichen Freiwilligen gesammelt und aufbereitet.
Die Forscher unterscheiden drei Varianten des Schädlings, Conficker A, B und C. Conficker A und B verbreiten sich automatisch weiter, während der neuere Conficker C dies nicht tut. Wenig überraschend nimmt die Verbreitung der A- und B-Variante weiter zu, während die Anzahl mit Conficker C infizierter Maschinen rückläufig ist.
Die Verbreitung des Schädlings ist regional unterschiedlich. Während in manchen Ländern nur ein Prozent der Rechner oder gar weniger mit Conficker infiziert sind, sind es in besonders schlimm betroffenen Ländern (vor allem Vietnam, Indonesien und der Ukraine) über fünf Prozent.
Die Bemühungen der Sicherheitsexperten, infizierte Maschinen zu identifizieren und zu säubern, zeigen allerdings zumindest teilweise Erfolg. Im Oktober gab es insgesamt noch über 7 Millionen infizierter Rechner. Seitdem sind die Zahlen betroffener Maschinen im, wenn auch langsamen, Sinken begriffen.
Die ShadowServer Foundation kündigte an, jedem Admin, der mit ihnen Kontakt aufnimmt, kostenlos einen umfassenden Bericht zum Thema zur Verfügung zu stellen. Dieser enthält auch die IP-Adressen betroffener Maschinen.
Quelle : www.gulli.com
-
Der Computerschädling Conficker ist offenbar weiter auf dem Rückzug. Zum Jahreswechsel nahm die Anzahl infizierter Rechner schlagartig massiv ab.
Wie die Sicherheitsexperten der Shadowserver Foundation und der Conficker Working Group, die den Schädling seit langem beobachten, erklären, nahm die Anzahl infizierter Rechner am ersten Januar schlagartig um rund 820.000 Rechner auf insgesamt 5,3 Millionen Rechner ab. Damit setzt sich ein Trend fort, der bereits im Dezember begonnen hatte. Auch im Dezember hatte die Zahl infizierter Rechner bereits abgenommen, allerdings weitaus langsamer als zuletzt.
Bisher wissen die Forscher nicht, was genau den Rückgang bewirkt hat. Eine Möglichkeit wäre, dass über die Feiertage schlicht weniger Rechner aktiv waren und somit ein Teil der infizierten Maschinen nicht in die Zählung einging. Ebenfalls wäre es möglich, dass einige Firmen die Feiertage und die damit verbundene ruhigere Zeit genutzt haben, um ihre Maschinen zu säubern. Für die erste Theorie würde sprechen, dass nach dem Jahreswechsel die Anzahl infizierter Rechner wieder leicht anstieg. Das Niveau von Ende Dezember ist allerdings noch lange nicht wieder erreicht.
Es bleibt interessant, zu beobachten, ob Conficker langsam aus dem Netz verschwindet. Möglich wäre theoretisch auch, dass die Autoren eine neue Version erstellen oder die infizierten Rechner als Botnet zu nutzen beginnen. Dafür allerdings gibt es bisher noch keine Anzeichen. Die Sicherheitsexperten werden wohl auch im neuen Jahr das tun, was sie bisher taten: Beobachten, von Conficker zur Kontaktaufnahme verwendete Domains registrieren sowie Admins und Benutzern Tipps zur Säuberung ihrer Server und PCs geben.
Quelle : www.gulli.com
-
Nachdem Mitte des vergangenen Jahres schon das Netzwerk der Stadtverwaltung von Manchester mit dem Conficker infiziert wurde, konnte der Wurm nun offenbar auch in das Netzwerk der Polizei von Manchester eindringen.
Aufmerksam wurde die Polizei von Manchester auf diesen Sachverhalt offenbar in der letzten Woche. Daraufhin wurden sämtliche Rechner des Netzwerks vom Internet getrennt, um eine weitere Ausbreitung des Schädlings zu verhindern. Die Systeme sind den getroffenen Angaben zufolge nach wie vor infiziert.
Der Conficker-Wurm nutzt unter anderem ungepatchte Sicherheitslücken in den Betriebssystemen von Microsoft, um in die Systeme eindringen zu können.
Wie der Schädling in diesem Fall jedoch in das Netzwerk gelangen konnte, teilte die Greater Manchester Police (GMP) noch nicht mit. Die Ermittlungen seien in diesem Zusammenhang noch im Gange, so ein Artikel der 'BBC'.
Die zugehörigen Mitarbeiter wurden inzwischen darauf aufmerksam gemacht, keine privaten USB-Sticks mehr am Arbeitsplatz zu verwenden, da sich der Conficker auch auf diesem Wege verbreiten kann.
Quelle : http://winfuture.de
-
Die Sicherheitsexperten von 'ESET (http://www.eset.at/firmeninfo/presse/presseaussendungen)' warnen vor einer momentan kursierenden Spam-Welle im Zusammenhang mit einem angeblichen Patch gegen den Conficker-Wurm. Identifiziert wird der Trojaner als Win32/Kryptik.clu.
In der verschickten elektronischen Post, die vorgeblich von Microsoft stammen soll, ist die Rede von einer neuen Ausbreitung des Conficker-Wurms. Eine ausführbare Datei, die sich im Anhang dieser besagten E-Mails befindet, soll den Rechner auf eine Infektion überprüfen und zugleich das System bereinigen können.
In Wirklichkeit handelt es sich dabei aber um keinen Patch, sondern um einen Trojaner den ESET als Win32/Kryptik.clu bezeichnet. Sofern dieser Computerschädling auf dem System installiert wurde, kann er weitere Malware aus dem Internet herunterladen.
Aus Angst vor möglichen Schwachstellen in den Betriebssystemen und Anwendungen von Microsoft überprüfen viele Anwender ihre Systeme mehr denn je, teilte Martin Penzes von ESET mit.
Grundsätzlich befürwortet er ein solches Sicherheitsbewusstsein. Allerdings nutzen dies inzwischen immer mehr Cyberkriminelle zu ihren Gunsten aus, so Penzes. Im Allgemeinen ist es empfehlenswert, keine Anhänge von E-Mails aus dubiosen oder unbekannten Quellen zu öffnen.
Quelle : http://winfuture.de
-
Vor über einem Jahr begann sich der Conficker-Wurm im Internet und über verseuchte USB-Sticks zu verbreiten. Die von einigen erwartete Katastrophe blieb aus, die Infektionen nehmen ab. Aber: noch immer ist jeder 10. PC für den Schädling anfällig.
Conficker sorgte für großes Medieninteresse und teilweise wilde Spekulationen. Einige Experten befürchteten nach der massenhaften Verbreitung von Conficker - auch und gerade in Firmen-Netzwerken - schon den Zusammenbruch des Internets. Andere gingen zumindest von der Schaffung eines riesigen Botnets aus, das im Anschluss für Chaos sorgen würde. Nichts von dem traf ein: zwar verbreitet sich Conficker nach wie vor, er verhielt sich jedoch weitestgehend ruhig.
Womöglich ist das der Grund dafür, dass Benutzer und Administratoren offenbar nicht genug unternehmen, um sich vor dem Wurm zu schützen. Über ein Jahr nach Bekanntwerden des Problems soll noch immer jeder 40. im Internet befindliche Rechner infiziert sein. Sage und schreibe einer von zehn Windows-Computern verfügt nicht über die Patches, die die von Conficker ausgenutzten Sicherheitslücken beheben. Das besagte Sicherheitsupdate mit der Bezeichnung MS08-067 wurde bereits im Oktober 2008 von Microsoft verteilt, kurz bevor Conficker - auch unter Downadup, Kido und anderen Namen bekannt - seinen Siegeszug begann. Zu seinen besten Zeiten soll das Conficker-Botnet rund 12 Millionen Rechner umfasst haben. Auch heute gehen Experten noch von vier bis sieben Millionen infizierter PCs aus.
Die Tatsache, dass offenbar nach wie vor viele Benutzer das über ein Jahr alte Update, das sie vor Conficker schützen würde, nicht installiert haben, kommt für Microsoft-Experten nicht überraschend. Sie sagen, dass im Durchschnitt 7-8% der Benutzer auf die Installation eines Updates verzichten. 10% seien also keine allzu außergewöhnliche Quote. Schon kurz nach Veröffentlichung von MS08-067 habe sich gezeigt, dass Benutzer keine besondere Eile gehabt hätten, das Update zu installieren, obwohl dieses sogar außer der Reihe und nicht erst zum nächsten Patch-Day veröffentlicht worden war.
Derweil bleibt Conficker nach wie vor eine, wenn auch derzeit schlafende, Bedrohung. Zwar ist es unwahrscheinlich, dass es jetzt noch zu einer Aktivierung des Botnets für destruktive Zwecke kommen wird - rein technisch wäre dies aber möglich. Vor diesem Hintergrund wirkt es wenig verantwortungsbewusst, auf den einfach verfügbaren Schutz des Sicherheits-Updates zu verzichten.
Quelle : www.gulli.com