Der 1. April hält diesmal einen Scherz der weniger lustigen Art bereit. Sicherheitsexperten befürchten, dass der Conficker-Wurm wieder zuschlägt. Dessen Angriffe werden von Mal zu Mal gefährlicher.
Der Conficker-Wurm hält die IT-Welt in Atem. Admins und Sicherheitsbeauftragte sollten sich insbesondere für den 1. April rüsten. Experten befürchten, dass die Malware dann neue Requests an 500 Domains für ein Update schicken wird.
Was dieses Update genau machen wird, weiß im Moment niemand. Doch die bisherigen Versionen von Conficker - alias Downadup - haben sich als erstaunlich einfallsreich und tückisch erwiesen.
Einige Millionen PCs infiziert
So hat die Verson C, die letzte Iteration des Wurms, eine Peer-to-Peer-Kommunikation zwischen infizierten Systemen aufgebaut. Außerdem ist der Wurm imstande, beispielsweise Antiviren-Software außer Gefecht zu setzen und die Funktion Auto Update von PCs abzuschalten.
Der Wurm hat in allen Varianten bisher schon schon einige Millionen PCs infiziert. Das hat dazu geführt, dass Unternehmen wie Microsoft und AOL sich zusammengetan haben, um Domains stillzulegen, die Conficker attackiert.
Immerhin können Anwender die Malware auf ihrem PC relativ leicht entfernen, etwa mit den Removal-Tools, die Anbieter wie Symantec zur Verfügung stellen.
Variante A war harmlos
Dabei waren die erste Varianten von Conficker im Herbst 2008 noch einigermaßen harmlos. Ursprünglich hatte die Malware eine Sicherheitslücke in Microsofts Windows Server ausgenutzt.
Pierre-Marc Bureau, eine Analyst beim Security-Anbieter Eset sagt: »Die Variante A machte den Eindruck eines Testlauf, und sollte sich gar nicht weltweit verbreiten. Sie hat zum Beispiel nach einem ukrainischen Keyboard oder eine ukrainischen IP gesucht, bevor sie einen Rechner infiziert hat.«
Verbreitung über schwache Passwörter
Andere frühe Variante versuchten eine Datei namens loadav.exe herunterzuladen. Allerdings war die entsprechende Datei nie auf einen Webserver hochgeladen und konnten so von Conficker gar nicht heruntergeladen werden. Die zweite Version des Wurms verbreitete sich nicht nur über eine Schwachstelle in Windows Server aber auch über Netzwerke, die nur durch schwache Passwörter gesichert waren oder auch über USB-Sticks.
Die neue Variante des Conficker-Wurms ist auch eine Bewährungsprobe für die Antiviren-Hersteller. Sie müssen rechtzeitig Removal-Tools bereitstellen - und dürfen sich dabei keine einzige Panne leisten.
(Brian Prince, eWEEK.com/Mehmet Toprak)
Weblinks
Symantec Removal Tool
Microsoft-Patch für Windows Server
Eset
Conficker-Report auf PC Professionell
Raimund Genes, Technik-Chef beim Security-Spezialisten Trend Micro, über die Bedrohung durch den Conficker-Wurm und Unternehmen, die ihre Sicherheit vernachlässigen.
Niemand weiß, was am 1. April wirklich passieren wird. Die Malware wird dann stärker kommunizieren, und kann zusätzliche Komponenten herunterladen, um sich in einen Spam-Bot oder einen DDOS-Bot zu verwandeln.
Einige Sicherheits-Anbieter sprachen ja von 12 Millionen infizierten Rechnern, wir gehen von weniger als 4 Millionen Rechnern aus. Und dank des weltweiten Medienechos werden viele Systeme noch vor dem 1. April bereinigt werden. Also kein Grund zur Panik, das Internet wird nicht am 1. April sterben.
Sicherheitsindustrie steht Gewehr bei Fuß
Und die ganze IT Sicherheitsindustrie und Unternehmen wie Microsoft stehen natürlich Gewehr bei Fuß, um Anwendern zu helfen. Zum Beispiel haben wir bei Trend Micro die Cleanup-Tools auch auf Webseiten bereitgestellt, die von dem Schädling nicht blockiert werden (Conficker blockiert viele der bekannten Web-Domains von Antivirenherstellern und auch die Updates von Microsoft). Also sind wir auf alles vorbereitet.
WICHTIG:
das letzte update des Windows Malicious Software Removal Tool.
alle uodates der persönlchen antivirus software und firewall zulassen
das Symantec Removal Tool möglicherweise spechern zur entfernung des wurms, falls doch ein befall erfolgt ist
UND: dies NICHT für einen aprilscherz halten!
vorsicht ist die mami der porzellankiste!
liebe grüße
von susanne
Nachdem der Wurm Conficker zu Jahresanfang bereits 9 Millionen Rechner infizierte, hat er es nun auch ins britische Parlament geschafft. Auf die IT-Sicherheit dort wirft das kein gutes Licht, steht doch bereits seit Oktober ein Patch für das von Conficker genutzte Windows-Leck bereit:
AntwortenLöschenhttp://www.it-im-unternehmen.de/news/2008/10/24/microsoft_mit_urploetzlichem_sicherheits_update
Dazu kommt, dass eine interne Mail der IT-Abteilung des Parlaments weitere Fragen aufwirft. Denn dort ist von nicht autorisierten Geräten im Parlamentsnetzwerk die Rede, über die der Schädling eingeschleppt worden sein könnte. Wo, wenn nicht im Parlament, sollte man eine NAC-Technologie (Network Access Control) einsetzen, fragt man sich etwa bei den Sicherheitsexperten von Trend Micro. Und welche Sicherheitssoftware wird genutzt, wenn der Schädling einfach vom USB-Speicher ins Netzwerk gelangen kann, ohne entdeckt zu werden?
Sieht man mal davon ab, dass die Mail auch zeigt, dass es im Parlament ein Datenleck gibt, über das interne Informationen nach außen gelangen, so befinden sich die Parlamentarier in bestern Gesellschaft. Auch beim britischen Militär nistet sich Conficker schon ein - Microsoft sucht den Virenschreiber mittlerweile per Kopfgeld. 250 000 Dollar gibt es für Hinweise, die zur Verhaftung und Verurteilung des Conficker-Erfinders führen. Der sitzt wahrscheindlich in der Ukraine, erklärte Marcus Rapp, Sicherheitspezialist bei F-Secure, im Interview mit PC Professionell.
Neues Ungemach von Conficker droht schon am 1. April. Dann lädt der Wurm neue Programmbestandteile nach - was genau, ist derzeit noch ungewiss. Doch da der sich der Schädling in der Vergangenheit erstaunlich einfallsreich und tückisch zeigte, dürfte es zu einer Bewährungsprobe für Antiviren-Hersteller und Admins werden. (Daniel Dubsky)
Beim Honeypot Project hat man Conficker eingehend unter die Lupe genommen und die Erkenntnisse in einem PDF mit dem Titel »Know Your Enemy: Containing Conficker« zusammengefasst. Darin erklärt man auch, dass der Wurm das Windows-Leck, über das er eingefallen ist, in einer speziellen Weise abdichtet - anders, als das etwa der reguläre Microsoft-Patch tun würde. Der Wurm bezieht über das Leck weitere Updates, versucht aber andere Schädlinge fernzuhalten. Doch auf bestimmte RPC-Messages reagiert er mit einer Fehlermeldung und verrät sich so. Mit einem Security Scanner lässt sich Conficker daher im Netzwerk aufspüren - Tillmann Werner und Felix Leder von Honeypot Project haben einen Scanner zum Download bereitgestellt:
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
Auch die bekannten Security Scanner Nessus und Nmap können den Schädling mittlerweile entdecken. (Daniel Dubsky)
quelle: http://www.pc-professionell.de/news/2009/03/31/conficker_verraet_sich_im_netzwerk
Virenalarm! Neue Conficker-Variante ist aktivVirenscanner 09.04.2009 | 13:32 Lange haben alle gewartet und nichts passierte. TrendLabs-Forscher Ivan Macalintal entdeckte dann gestern Abend die neue Variante des gerissenen Schädlings. Neuer Code verteilt sich nun aktiv über die P2P-Funktionen des berüchtigten Vorgängers. Der Wurm Conficker.E oder Downad.E verteilt sich über die Funktionalität im vorher verteilten Wurm. Der neue Digitalfiesling reaktiviert die Verbreitungsmechanismen des Vorgängers und arbeitet nun auch mit anderen Schädlingen zusammen - die TrendMicro-Labors glauben, einen Zusammenhang zu erkennen: Die Bösewichter Conficker und Waledac scheinen aus der selben Schmiede zu kommen. Die Würmer sprechen mit Servern, die jeweils von anderen Schädlingen genutzt wurden. Sicherheitsforscher sehen sogar einen Zusammenhang mit dem Stormbot-Netz. TrendMicro-Mann Rik Ferguson glaubt, es könnte sich bei den Urhebern aller drei großen Bedrohungen um ein und dieselbe "Cybercrime-Gang" handeln. Um 23:30 uhr abends publizierten auch die Kasperksy Labs USA, um halb zwölf nachts die Blog Malware Diaries, um 2 Uhr nachts nahm es die australische Website Techgeek in seine Eilmeldungen, das Blognetz "not just the News" (NJN) verteilte die Meldung um 3 Uhr nachts weltweit auf Websites - conficker häl die Welt in Atem. Für Techniker: Sogar die Ports, über die der digitale Hotzenplotz sich verbreitet und über die er Schädlinge miteinander kommunizieren lässt, sind per Zufallsgenerator produziert: und liegen zwischen 1024 und 10.000. Wie der Wurm nach bisherigem Wissen genau agiert, steht im Blog des Antivirenspezialisten. Vieles ist noh unbekannt. Die Website der unternehmensübergreifenden Conficker Working Group, die das <a style="border-bottom: 0.07em solid darkgreen;padding-bottom: 1px ! important;background-color: transparent ! important;font-size: 100% ! important;font-weight: normal ! impo
AntwortenLöschen