(openPR) Der Wurm Conficker verbreitet und entwickelt sich weiter. Inzwischen existiert die Variante W32/Conficker-C. Am 1. April 2009 soll der Wurm Kontakt zu seinem Entwickler aufnehmen und die Befehle abrufen, die er ausführen soll. Denkbar wären hier DDOS Attacken auf bestimmte Systeme oder, viel schlimmer, Datenklau.
Hier eine Checkliste, was der Wurm macht und wie Sie sich gegen Conficker schützen können.
W32/Conficker-C
Verbreitung
W32/Conficker verbreitet sich über Fileshares, die mit einem schlechten Passwort geschützt sind (oder auf die ein eingeloggter Adminstrator Zugriff hat), kopiert sich auf portable Datenträger (z.B. USB Stick) und nutzt die Windows Lücke MS08-067 aus.
Ist der Wurm auf dem Rechner eingedrungen installiert er sich auf dem System unter einem zufälligen Dateinamen (z.B. C:Windowssystem32zdtnx.g oder C:Windowssystem32kdcktv.dll), trägt sich in die Registry ein und installiert den Patch für die Lücke MS08-067 ein.
Schaden
Nach dem Befall versucht W32/Conficker die externe IP Adresse herauszufiden, sich zu verbreiten und verschiedene Websites zu blocken, die folgen Wörter in der URL enthalten
cert.
sans.
bit9.
vet.
avg.
avp.
ca.
nai.
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
Die Variante W32/Conficker-C erstellt Windows-Dienste, deren Namen aus vorhandenen Diensten zusammengestellt wurden, deaktiviert die Sicherheitswarnungen von Windows und Windows Defender, verhindert einen Start im Abgesicherten Modus und löscht alle Systemwiederherstellungs-Punkte.
Am 1. April versucht der Wurm Kontakt zu seiner Entwickler aufzunehmen. Dazu werden pro Tag 50.000 Domainnamen in 110 Toppleveldomains (z.B. .de .com) generiert, was eine Blockierung all dieser Doamins schwer macht.
Abhilfe
Einen Befall merken Sie in der Regel durch auffälliges Verhalten Ihrer Windows Rechner. Wollen Sie auf Nummer sicher gehen, können Sie ein Netzwerk Analyse Tool laufen lassen
Sophos Conficker Clean-up Tool (network version)
Sophos Conficker clean-up tool (standalone version)
Die Sophos On Access Engine erkennt den Virus.
Der Virus wird bei Sophos unter folgenden Namen geführt: Mal/Conficker-(A-F), WORM_DOWNAD.AD,W32/Conficker.worm,Worm:Win32/Conficker.gen!A,Worm:W32/Downadup,Net-Worm.Win32.Kido
Haben Sie eine Sonicwall PRO / TZ /NSA im Einsatz und den AntiSpyware Service im Einsatz ist die Gefahr einer Kontakaufnahme des Wurms mit dem Entwickler minimiert. Sonciwall erkennt den Wurm und blockiert, bei richtiger Konfiguration die Verbindungsversuch
Name des Wurms bei Sonicwall: W32.Conficker
Mehr Informationen auf: http://www.data-sec.net/loesungen/partner/
