Thema: Conficker in Kärnten: Nach der Landesregierung nun die Spitäler

[SiLæncer]

Die Internet-Verwaltung ICANN (Internet Corporation for Assigned Names and Numbers) glaubt, dass Schadsoftware wie der Conficker-Wurm sich auch weiterhin mittels des Domain Name Systems verbreiten werden. Kurzfristig könnten solche Attacken sogar zunehmen, schreibt der ICANN-Mitarbeiter Greg Rattray in einem Weblog-Beitrag.

Der Internet-Wurm Conficker generiert anhand der Zeit eine Liste von Domains, mit denen er Kontakt aufnimmt, um weiteren Code nachzuladen. Einige Sicherheitsexperten hatte Mitte Januar 2009 diesen Algorithmus erkannt und suchen seither eine Kooperation mit den Domain-Registraren, die die potenziell gefährdeten DNS-Namen schützen respektive blockieren können. Die ICANN hatte dabei mit Microsoft, den Registraren und den Sicherheitsexperten zusammengearbeitet – eine Arbeitsgruppe soll die Kooperation nun vorsetzen. Laut Greg Rattray, Chief Internet Security Advisor beim ICANN, soll das Gremium Maßnahmen zu finden, die Würmer- und Botnet-Angriffe im Internet schnell und effektiv bekämpfen.

Das alternative Domain-Name-System OpenDNS arbeitet seit Anfang Februar bei der Conficker-Bekämpfung mit Kaspersky Labs zusammen. OpenDNS arbeitet wie ein den offiziellen Root-Nameservern vorgeschalteter Filter, der jedoch den anerkannten Namensraum nicht manipuliert.

Quelle : www.heise.de

[SiLæncer]

Die Autoren des Windows-Wurms Conficker entwickeln ihr Machwerk offenbar stetig weiter. Forscher des SRI International haben bei ihren Analysen festgestellt, dass die aktuellen Varianten Conficker B und B++ deutlich flexibler sind, was das Nachladen von Erweiterungen und neuen Versionen angeht.

Die erste Version des Wurms kontaktierte dazu Webseiten, deren Domain er nach einem leicht vorhersagbaren Verfahren ausgewürfelt hat. Microsoft und ICANN versuchten daraufhin, diese Domains unter ihre Kontrolle zu bringen beziehungsweise zu sperren. Die nachfolgende Version B verwendete ein anderes Verfahren, die Domains für seine Kontaktversuche zu ermitteln. Außerdem verzichtet sie auf den sogenannten "Selbstmordschalter", der bei Version A in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.

Das neueste Machwerk schlielßlich, Conficker B++, kann nicht nur DLLs nachladen, sondern beliebige, komplette Programme; es erweitert damit den Spielraum für weitere Aktivitäten der Botnetz-Betreiber. Und außer der Nachladefunktion enthält diese Version auch noch eine Hintertür, über die man von von außen aktiv Zusatzmodule oder neue Versionen einschleusen kann.

Die Forscher haben mittlerweile rund 10 Millionen IP-Adressen mit Conficker-Aktivitäten gezählt; davon über 6 Millionen mit Conficker B. Dies spiegelt jedoch nicht die Zahl der infizierten Systeme wieder. Diese dürfte nach Schätzungen von SRI International um rund eine Großenordnung niedriger, also eher im Bereich einer bis weniger Millionen Systeme liegen. Interessant ist auch die länderspezifische Auswertung: Dort führt China mit rund 2,7 Millionen IPs, und Deutschland liegt mit 195,923 infizierten Adressen noch knapp vor den USA.

Quelle : www.heise.de

[SiLæncer]

Der PC-Wurm Conficker macht seinem Ruf als hartnäckigster Schädling der vergangenen Jahre weiter Ehre: Kopfgeldern auf die Autoren und Allianzen von IT-Sicherheitsfirmen zum Trotz schießt er mit Vorliebe Netzwerke ab. Nach der Bundeswehr erwischte es nun eine Hochschule in Deutschland.

Der Computer-Virus Conficker alias Downadup, der im Februar die Bundeswehr überrollte und für erhebliche Störungen sorgte, hat nun auch das Netzwerk einer Hochschule in Mecklenburg-Vorpommern erwischt und komplett lahmgelegt.

Die Fachhochschule für Verwaltung, Polizei und Rechtspflege mit rund 700 Studierenden in Güstrow musste deshalb zum äußersten Mittel greifen und alle Rechner vom Internet trennen. Zurzeit versuchen Systemtechniker den zentralen Server von dem Virus zu reinigen. Danach müssten alle anderen Computer einzeln von dem Computerwurm befreit werden, sagte ein Sprecher des Schweriner Innenministeriums. Ob durch den Wurm darüber hinaus Schäden verursacht wurden, sei bislang noch nicht abschätzbar.

Andere öffentliche Institutionen seien nach Informationen des Bundesministeriums für Sicherheit in der Informationstechnik bisher nicht von dem Virus betroffen.

Bei der Bundeswehr ist Conficker derweil kein Thema mehr. "Alle betroffenen Dienststellen sind wieder an das zentrale Netzwerk angeschlossen", sagte ein Sprecher des Bundesverteidigungsministeriums.

Hier hatte der Virus am 12. Februar zugeschlagen. Um die Ausbreitung zu verhindern, wurden einige hundert Rechner vom Netzwerk getrennt. Schaden sei nicht entstanden.

Indes kursieren neuere Versionen des Conficker-Virus, die noch intelligenter und aggressiver sind, als das Ursprungsvirus. Conficker verursacht keine unmittelbaren Schäden, sondern vermehrt sich besonders effizient und verteilt sich auf mehreren alternativen Wegen. Er öffnet auf befallenen Rechnern eine Hintertür, durch die er aus dem Internet weitere Schadsoftware nachladen kann. Conficker steht im Verdacht, seit Oktober vergangenen Jahres zum Aufbau eines Botnetzes aus ferngesteuerten Rechnern gebraucht zu werden.

Zeitweilig waren Schätzungen zufolge 10 bis 50 Millionen Rechner befallen. Die Säuberung von mit Conficker befallenen Netzwerken gilt als ungewöhnlich aufwendig. Der oder die Urheber sind weiter unbekannt. Der Softwaregigant Microsoft hatte am 13. Februar für Hinweise zu den Hintermännern eine Belohnung von 250.000 Euro ausgelobt.

Quelle : www.spiegel.de

[SiLæncer]

Der Conficker-Wurm wird im März mindestens vier legitime Domains stören, heißt es in einem Bericht des Antivirus-Herstellers Sophos. Zwar bestehen die Domain-Namen, die der Schädling nutzt, um für neue Befehle nach Hause zu telefonieren, gewissermaßen aus einer zufälligen Buchstabenkombination und sind daher größtenteils ungenutzt. Doch am 8. März lautet die Zeichenkombination zufällig jogli.com – die Domain einer Musiksuchmaschine.

Am 13. März werden die Conficker-Drohnen die Southwest-Airlines-Website wnsux.com mit Anfragen überhäufen. qhflh.com, die Domain eines Frauennetzwerkes der chinesischen Provinz Qinghai, ist am 18. März an der Reihe und die praat.org, deren Inhalt sich mit algorithmischer Audio-Analyse beschäftigt, wird am 31. März zur Wurmhochburg. Den Domains droht durch die unnützen Netzwerkverbindungen der Millionen infizierten Systeme für rund einen Tag der Totalausfall. Laut Sophos sollen auch andere weniger frequentierte legitime Domains auf dem Weg des Wurms liegen.

Der AV-Hersteller schlägt vor, dass die betroffenen Sites ihre Domain für den Tag im DNS-System stillegen oder die HTTP-Anfrage http://<domainname>/search?q=<N> herausfiltern sollen. Die erste Option erfordert, dass der Betreiber eine Ausweich-Domain parat hat. Southwest-Airlines-Besucher können beispielsweise vorübergehend den alternativen Domain-Namen southwest.com verwenden. Die zweite Option dürfte nur in Frage kommen, wenn die angefragte Such-URL nicht verwendet wird.

Microsoft, ICANN und andere an der Conficker-Blockierung beteiligten Firmen – auch bekannt als das Conficker-Kabal – registrieren vorab die Domains, die der Schädling künftig sein Zuhause nennen wird. Der Algorithmus, nach dem der Wurm die Zeichenfolgen generiert, ist inzwischen bekannt. In diesem Zusammenhang weist Sophos darauf hin, dass einige der Domains bereits registriert seien und zum Verkauf stünden. Die Liste der zu blockenden Domains ist daher unvollständig, da sie vergebene Domains aus rechtlichen Gründen nicht enthalten darf.

Quelle : www.heise.de

[SiLæncer]

Neue Versionen greift Sicherheitstools an

Symantec warnt vor neuen Varianten des ständig mutierenden Wurms Conficker, auch bekannt als Downadup. Der Wurm kann nun ein mehrfaches der zuvor betroffenen Domains angreifen und versucht, Sicherheitsprogramme auf infizierten PCs zu beenden.
Erst vor zwei Wochen waren die Versionen B und C des Conficker-Wurms aufgetaucht, nun gibt es neue Varianten, die sich von den bisherigen stark unterscheiden. In der Nomenklatur von Symantec heissen sie "Downadup.C", andere Antivirenhersteller wie Sophos sind schon beim Buchstaben E für die immer neuen Varianten des Wurms angekommen.

Die offenbar aktuellste von Symantec untersuchte Version des Conficker generiert nicht mehr nur jeden Tag 250, sondern bis zu 50.000 Domainnamen. Von dort versucht er sich zu aktualisieren. Die Domainnamen erzeugt der Wurm zwar mehr oder weniger nach dem Zufallsprinzip, dabei kann er jedoch auch zahlreiche kommerziell genutzte Buchstabenkombinationen erwischen. Dieses Problem wird nun noch schlimmer, da der Wurm dabei 116 Top-Level-Domains wie .com oder .de verwendet. Wie viele es vorher waren, gibt Symantec nicht an.

Zudem versucht der Wurm nun Prozesse zu beenden, die bestimmte Zeichenketten wie "wireshark", "procexp"" (Process Explorer) oder "hotfix"" enthalten. Dazu kommen noch Strings der Programme, die die gegen den Wurm veröffentlichten Microsoft-Patches installieren. Conficker kann über das Netz nur solche Systeme unter Windows 2000 bis Vista befallen, bei denen eine seit Oktober 2008 gepatchte Lücke im RPC-Dienst nicht geschlossen wurde. Zusätzlich ist aber auch eine Verbreitung durch das Ausführen einer Datei möglich, die sich auf USB-Sticks durch ein gefälschtes Autostart-Icon tarnt.

Symantec berichtet zudem, dass es derzeit keinen nennenswerten Anstieg der Neuinfektionen durch Conficker gibt. Daraus sowie aus den neuen Schutzmechanismen des Wurms schließt Symantec, dass die Conficker-Autoren derzeit vor allem bemüht sind, die befallenen Rechner unter ihrer Kontrolle zu behalten.

Wozu der Wurm erstellt wurde, ist weiterhin unklar ebenso wie die Zahl der von ihm infizierten Rechner. Manche Security-Unternehmen gehen von einer zweistelligen Millionenanzahl von Conficker-PCs aus, andere geben einige hunderttausend Rechner an. Außer dem einer DoS-Attacke entsprechenden Kontaktieren von Domains und der vertanen Arbeitszeit für seine Entfernung wurden bisher keine aktiven Schadfunktionen entdeckt.

Durch Würmer befallene PCs wurden in der Vergangenheit oft in Botnetzen verwendet, um beispielsweise massenhaft Spam-Emails zu versenden oder Firmen, die besonders von ihrer Webseite abhängig sind, per DoS-Atttacke zu erpressen. Ob hinter Conficker nur besonders motivierte Programmierer stecken, die mit den Antivirenherstellern und Internet-Administratoren Katz und Maus spielen oder ernsthaft kriminelle Absichten, ist noch nicht abzusehen.

Quelle : www.golem.de

[SiLæncer]

Kaspersky Lab warnt vor einer neuen Version des Wurms Conficker alias Kido. Die neu aufgetretenen Variationen, beispielsweise Net-Worm.Win32.Kido.ip und Net-Worm.Win32.Kido.iq, unterscheiden sich vom Vorgänger durch erweiterte Trojaner-Funktionalität und wehren sich gegen installierte Antiviren-Software.

Kido, besser bekannt unter dem Namen Conficker, ist Ende letzten Jahres erstmals in Erscheinung getreten und hat ein bislang ungekanntes Ausmaß erreicht. Die neuen Versionen, auf die vorgestern bereits Symantec hinwies, erreichen mit bis zu 50.000 Domainnamen, die sie täglich kontaktieren, ein 200-faches der ersten Conficker-Version.

"Bis jetzt sehen wir keine akute Gefahr einer Virenepidemie durch die neue Kido-Version", so Vitali Kamlyuk, Senior Anti-Malware Expert von Kaspersky Lab. "Sollte die Neuauflage jedoch die vorab aufgetauchten Versionen ersetzen, erwarten wir ernsthafte Probleme beim Kampf gegen die Entwickler dieses Schädlings."

Der Wurm Kido/Conficker mit dem Funktionsumfang eines Trojan-Downloaders transferiert weitere Schädlinge auf den infizierten Rechner. Kaspersky Lab registrierte den Schädling erstmals im November 2008. Die neuen Varianten von Conficker wurden am Samstag, den 7. März, in die Antiviren-Datenbanken von Kaspersky Lab eingetragen.

Erneut empfiehlt Kaspersky Lab allen Benutzern, das Betriebssystem-Update MS08-067 zu installieren. Antiviren-Lösungen mit aktuellen Signaturen sowie eine richtig konfigurierte Firewall tragen ebenfalls zum Schutz vor Infizierung bei. Benutzer der Antiviren-Produkte von Kaspersky Lab, die ihre Betriebssysteme mit dem Patch von Microsoft aktualisiert haben, sind gegen Kido geschützt.

Quelle : www.pcwelt.de

[SiLæncer]

Eine Reihe von Antiviren-Software-Herstellern bietet inzwischen eigenständige Tools zum Entfernen des Conficker-Wurms an, darunter Symantec, F-Secure und Bitdefender. Diese Programme erfordern keine Installation der Antiviren-Lösung; man kann sie beispielsweise auf einen USB-Stick kopieren und von dort aus dann auf dem infizierten Rechner starten.

Leider lässt sich keiner der Hersteller in seiner Beschreibung darüber aus, welche Versionen des Wurms er zuverlässig erkennen und tatsächlich vollständig beseitigen kann. Darüber, ob eine Reinigung des Systems sinnvoll ist oder nicht doch eher eine komplette Neuinstallation beziehungsweise Wiederherstellung aus einem Backup die bessere Wahl ist, lässt sich ohnehin trefflich streiten. Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. Zumindest bei gut untersuchten Würmern wie Conficker ist zumindest das Risiko gering, dass das Reinigungsprogramm eine bislang unbekannte Hintertür übersieht.

Siehe dazu auch:

    * W32.Downadup Removal Tool von Symantec
    * F-Downadup von F-Secure
    * Downadup Removal Tool von Bitdefender

    * Der Virendoktor; Vom richtigen Umgang mit (vielleicht) infizierten Systemen auf heise Security

Quelle : www.heise.de

[SiLæncer]

Phillip Porras, Hassen Saidi und Vinod Yegneswaran von SRI publizierten gestern eine erweiterte und äußerst umfangreiche Analyse des Wurms Conficker, ebenso wie der C-Variante.

Auf der Website von SRI können sich interessierte und affine Menschen die Analyse des Wurms in allen Details ansehen. So wurde die Analyse um viele weitere Details ergänzt. Von den Funktionen an sich, über Quellcodes und schematischen Darstellungen, bis zur Verbreitung in einzelnen Ländern, findet man hier eine äußerst genaue Aufstellung rund um Conficker und auch die Variante Conficker C. Auf der Website heißt es einleitend hierzu:

"Conficker ist eine neue interessante Art von selbstaktualisierenden Würmern, die sehr viel Aufmerksamkeit aus den Reihen derer erhielt, die sich mit der Verbreitung von Malware beschäftigen. Tatsache ist, wer sich mit Honeynets beschäftigt, wird kaum von der Malware Conficker nichts mitbekommen haben. In den letzten Monaten hat dieser Wurm alle anderen Vertreter seiner Art aus dem Weg geräumt und nahezu jeden Windows 2K- und XP-Honeypot infiziert, der von uns ins Netz gestellt wurde. Von letztem November bis in den Dezember registrierten wir mehr als 13.000 Befälle in unserem Honeynet und weitere 1.5 Millionen infizierte Ips aus 206 Staaten."

Conficker, der bisher noch keinen direkten Schaden verursacht hat und auch unter dem Namen Kido bekannt ist, schläft somit weiter vor sich hin. Er erzeugt damit bislang nur ein enormes Botnet, das jedoch jederzeit für DDoS-Angriffe, Datendiebstähle oder weitere Infektionen benutzt werden kann. Außer, dass er sich weiterhin Updates holt und sich verbreitet, wurden keine anderweitigen Aktionen darüber bekannt. Ebenso der Autor, auf den von Microsoft ein Kopfgeld von 250.000 US-Dollar ausgesetzt wurde, bleibt unbekannt. Wieviele Infektionen insgesamt bereits gezählt werden können, bleibt auch unklar. Es wird von bis zu 50 Millionen Rechnern ausgegangen. Ars Technica berichtet, die ersten Auswirkungen seien laut einer Analyse voraussichtlich für den 1. April geplant. Man darf hoffen, dass dies ein Aprilscherz bleiben wird.

Anti-Virenhersteller haben in den vergangenen Tagen eine Reihe von Tools zur Entfernung des Schädlings veröffentlicht, darunter Symantec, F-Secure, Bitdefender und Kaspersky. Prominenteste Opfer der Schadsoft dürften weiterhin die deutsche Bundeswehr sein, ebenso wie eine Fachhochschule in Mecklenburg-Vorpommern und einige Kärntner Krankenhäuser.

Quelle und Links : http://www.gulli.com/news/conficker-c-quellcode-analyse-2009-03-20/

[SiLæncer]

IT-Sicherheitsforscher versuchen mehr über die Verbreitung des Computerschädlings Conficker zu erfahren. Dazu suchen sie dessen allererstes Opfer.

Conficker A, die erste Version, nutzte eine Windows-Lücke aus, die bereits mit dem Monate vor der Verbreitung des Schädlings von Microsoft veröffentlichten Sicherheitsupdate MS08-67 geschlossen wurde. Die Experten vermuten daher, dass Conficker zunächst eine relativ kleine Anzahl von Firmenrechnern mit langen Update-Zyklen infizierte, auf denen der entsprechende Patch noch nicht installiert war. Nach diesen Rechnern fahnden sie nun.

Forscher der University of Michigan bedienen sich dabei eines Überwachungs-Systems des Department of Homeland Security (DHS), das dieses bereits seit sechs Jahren zur Überwachung sogenannter Darknets nutzt. Die IT-Sicherheitsexperten gehen davon aus, dass dieses System aufgezeichnet hat, wie Conficker sich von den ersten infizierten PCs aus neue Opfer suchte. Das nämlich geschieht immer nach einem bestimmten Muster. Um die entsprechenden Informationen zu finden, müssen die Forscher allerdings geschätzte 50 Terabyte Daten durchsuchen. Die Forscher allerdings sind recht zuversichtlich: Zu ihrer Überraschung enthält Conficker offenbar keinen Code, der die Sensoren des DHS blockiert, was nach ihrer Ansicht durchaus machbar gewesen wäre. Beobachter merken an, das dies nicht gerade ein gutes Licht auf die Effektivität der DHS-Systeme wirft - allerdings scheinen auch die Conficker-Autoren, die bisher sehr erfolgreich mit ihrem destruktiven Treiben waren, hier einen Fehler gemacht zu haben.

Die Forscher hoffen nun auf wertvolle Informationen darüber, wie sich Conficker quer durch das Internet verbreitete. Sie hoffen, so besser gegen zukünftige Epidemien vorgehen zu können.

Quelle : www.gulli.com

[SiLæncer]

Die neueste Variante des Conficker-Wurms gibt den Malware-Forschern Rätsel auf. Sie haben zwar heraus gefunden, dass sich der Schädling am 1. April aktivieren wird, wissen aber nicht genau, was er dann machen wird.

Der Wurm Conficker (Alias: Downadup, Kido) ist von seinen Programmierern gründlich überarbeitet worden. Die seit ein paar Wochen bekannte dritte Version, oft als "Conficker.C" bezeichnet, enthält zahlreiche, zum Teil grundlegende Änderungen der Funktionalität. Malware-Forscher haben bei der Analyse des Schädlings heraus gefunden, dass er am 1.April aktiv werden soll. Sie rätseln jedoch noch, was dann genau passieren wird.

Zu den wesentlichen Änderungen bei Conficker.C, der auf den meisten infizierten Rechnern die Vorversionen ersetzt hat, gehört die Entfernung einer Verbreitungsroutine. Der Schädling breitet sich also nicht mehr auf weitere Rechner aus. Vielmehr scheinen die Programmierer darauf aus zu sein die bestehende Basis infizierter PCs, das Conficker-Botnet, zu konsolidieren. Der Schädling verteidigt sich aggressiver als seine Vorgänger gegen Entdeckung und Entfernung. Dazu greift er aktiv vorhandene Sicherheitsprogramme wie Virenscanner an und versucht sie auszuschalten.

Die Kommunikation des Schädlings mit dem Mutterschiff sowie anderen infizierten Rechnern ist ebenfalls verändert worden. Die bislang verwendete, recht schlichte HTTP-Kommunikation ist nun einem Update-Check mit kryptografischer Signatur gewichen. Die Kommunikation der infizierter Rechner erfolgt über ein ausgefeiltes P2P-Protokoll, das der Verteilung von ebenfalls kryptografisch signierten Updates dient.

Statt wie Conficker.B 250 pseudo-zufällige Domain-Namen am Tag zu generieren, erzeugt Conficker.C 50.000 Domain-Namen am Tag, von denen er 500 zufällig ausgewählte abfragt, um Updates zu erhalten. Conficker fragt ferner etliche große Websites wie etwa Yahoo ab, um das aktuelle Datum zu erhalten. Am 1. April soll es dann los gehen - nur was da geschehen soll, ist noch unklar.

Versuche in Antiviruslabors, bei denen Forschern dem Schädling das Datum 1. April vorgetäuscht haben, sind bislang wenig aufschlussreich geblieben. Die Täter, die Conficker kontrollieren, haben aus nachvollziehbaren Gründen noch keine vorbereiteten Updates oder Anweisungen online gestellt, die Forscher abfangen könnten. Ebenfalls unklar ist weiterhin, was die Täter mit dem in den letzten Monaten aufgebauten Botnet von schätzungsweise mehr als einer Million infizierter Rechner überhaupt vorhaben. Vermutlich wird auch diese Frage am 1. April beantwortet.

Quelle : www.pcwelt.de

[SiLæncer]

Der Conficker-Wurm ist enorm verbreitet, hat die IT-Security-Szene in Aufruhr versetzt, neue Branchen-Allianzen initiiert und gilt als potentiell enorm gefährlich. Auf seine Schöpfer sind Kopfgelder ausgesetzt und - am 1. April wird er aktiv. Oder sollte das nur ein Scherz sein?

Drei Generationen in sechs Monaten, in der Welt der PC-Würmer und Viren ist das nicht viel. Seit seinem ersten Auftreten im Oktober 2008 haben die unbekannten Programmierer des Conficker- oder auch Downadup-Wurms diesen nur zweimal grundlegend überarbeitet. Zu viel mehr hatten sie kaum einen Grund: Der Schädling verbreitet sich weiterhin ungewöhnlich erfolgreich.

Das IT-Security-Unternehmen BitDefender sah ihn - alle seine Varianten zusammengenommen - im März an Platz 3 der erfolgreichsten Viren und Würmer. Über vier Prozent aller gefundenen Schadprogramm-Infektionen gehen angeblich auf Conficker zurück. Das ist eine Menge.

Auf der anderen Seite scheint Conficker bisher wenig Erfolg gehabt zu haben: Zwar vermehrt und verbreitet er sich mit kaninchenhafter Geschwindigkeit, ansonsten ist er aber ein ganz kuscheliger Wurm. So richtig Beißen scheint er bisher nicht zu können, was all das mediale "Warnung!"-Geschrei ad absurdum zu führen scheint. Seit Jahresbeginn verbreiten wir Medien mit jeder neuen, kraftvollen Variante die Warnung der Sicherheitsfirmen vor der potentiell heftigsten Schadprogramm-Attacke aller Zeiten. Wenn das so weitergeht, hört bald niemand mehr hin.

Selbst die Security-Firmen trauen sich nicht mehr so richtig. Sie sind sich einig, dass Conficker C, die neueste Generation des Wurms, erheblich mehr Schadpotential hat als seine Vorgänger. Die vergangenen Updates zielten unter anderem darauf ab, das Netzwerk aus gekaperten Rechnern zu stabilisieren.

Man weiß: Er wird aktiv. Wie genau, weiß keiner

Die Experten wissen auch, dass Conficker C darauf programmiert ist, am 1. April 2009 aktiv zu werden. Seine Programmierung sieht vor, dass er dann wieder einmal seine Fühler ins Netz ausstreckt und neue Befehle erhält, neue Schadprogramme nachlädt. Das, sagt Graham Cluley, Sprecher der IT-Sicherheitsfirma Sophos und inzwischen auffällig zurückhaltend, könne bedeuten, dass etwas passiert. Vielleicht aber auch nicht.

Denn ob und was der Wurm unternimmt, wird man erst wissen, wenn er versucht, mit dem Download seiner neuen Befehle und Funktionen zu beginnen. Das Ganze ist ein Katz-und-Maus-Spiel. Wir PC-Nutzer werden Zeuge einer Pokerpartie von Virenschreibern und Virenbekämpfern, mit allem, was dazu gehört - Bluffs inklusive. Noch immer ist noch nicht einmal klar, was die Virenautoren überhaupt wollen.

Abgesehen davon, dass sich ihr Wurm massenhaft verbreiten soll, und das vorzugsweise innerhalb von Netzwerken. Das ist der Grund, warum es Anfang des Jahres so spektakulär Regierungsbehörden erwischte, dazu ausgerechnet das Militär: Bundeswehr, französische und britische Streitkräfte brauchten teils Wochen, Conficker wieder loszuwerden. Das klingt unheilschwangerer, als es ist: Es ist unwahrscheinlich, dass dies gezielte Attacken waren.

"Betroffen von dem Wurm sind viele", meint dazu Dirk Kollberg von der IT-Sicherheitsfirma McAfee. "Behörden ebenso wie Unternehmen oder Privatleute. Generell denke ich, dass es keinen guten Eindruck macht, wenn eine Firma ein internes Sicherheitsproblem bekannt macht. Behörden unterliegen vielleicht nicht diesem Druck und können so offener darüber sprechen."

So zählt auch Kollbergs Kollege Christoph Hardy von der britischen Firma Sophos die "Verluste durch Imageschäden" mit in die bisherige Schadensbilanz von Conficker. Hardy: "Conficker zerstört keine Hardware. Er ist eine Malware der neuen Generation, die es ermöglicht, infizierte PC zu übernehmen und diese zum Beispiel zu Botnetz-Zwecken fernzusteuern. Daher sind finanzielle Schäden schwer zu beziffern."

Ein Pokerspiel, bei dem der Nutzer als Verlierer feststeht

Die, sagt Hardy, entstünden zurzeit vor allem dadurch, dass der Wurm in befallenen Netzwerken Mail-Gateways belaste, freigegebene Ordner auf Computern infiziere und herkömmliche Virenscanner umgehe, die auf einen reinen Update-Mechanismus zur Aktualisierung setzten. "Die größten Schäden" sekundiert Kollberg, "dürfte der Wurm bei der Bereinigung verursachen."

Bis jetzt. Denn dass Conficker geeignet und wohl auch dafür gedacht ist, ein Botnet aufzubauen, gilt als ausgemachte Sache. Eric Chien von der IT-Sicherheitsfirma Symantec glaubt, dass man aus einer der bisherigen Adressen, über die Conficker versucht hat, Schad-Code nachzuladen, Rückschlüsse über die Absichten der Virenprogrammierer ziehen könnte: Die Betreiber der betreffenden Seite seien "schwer involviert gewesen" in den Vertrieb von Adware und Fake-Virenschutzprogrammen, auch als Fakeware oder Erpressungs-Software bekannt.

Solche Programme täuschen einen Virenbefall vor, blockieren oder behindern Funktionen des Rechners und verlangen die Überweisung eines Preises für ein Reinigungsprogramm, um den Rechner wieder frei zu bekommen. Das ist nichts anderes als Schutzgelderpressung in bester Mafia-Tradition und inzwischen Alltag im Netz.

Countdown ins Ungewisse

Vielleicht ist das so, vielleicht aber auch noch viel primitiver: "Unserer Meinung nach", sagt Kollberg von McAfee, "wird derzeit primär versucht, möglichst viele Rechner unter Kontrolle zu bekommen. Durch die Installation von Adware über das Conficker-Netzwerk wäre es möglich, Geld über ein Affiliate-Programm zu generieren."

Zu deutsch: Der Wurm ließe sich schon zu Geld machen, indem man die Masse der befallenen Rechner schlicht auf dem Adware-Markt anböte - der schmierigsten Variante des Werbemarktes. Manche dieser Adware-Programme spionieren PC-Nutzer aus, bombardieren sie mit Trash-Werbung von Viagra-Kopien über Produktplagiate bis zu Pornonetzwerken oder "kidnappen" die Browser der PC-Nutzer, indem sie sie ab und zu, aber immer wieder auf Websites landen lassen, die sie gar nicht besuchen wollten.

Wie gesagt: Vieles ist möglich. Was ab dem 1. April geschehen wird, wird man erst wissen, wenn Conficker wirklich ein Selbst-Update gelingt.

Auch das hat er bereits zweimal versucht, was allerdings durch die Bemühungen der wohl breitesten Firmenallianz, die je gegen ein Virus angetreten ist, verhindert wurde. Die "Conficker Cabal" ist ein informelles Bündnis, das Firmen und Organisationen von Microsoft über IT-Sicherheitsfirmen bis hin zur Icann umfasst. Anfang Februar setzte Microsoft ein Kopfgeld von 250.000 Dollar auf die Virenautoren aus, bisher vergeblich: Die programmieren fleißig weiter. Immerhin verhinderte die Cabal-Gruppe bisher erfolgreich, dass der Wurm über das Netz "nachladen" konnte. Diesmal aber wird das schwerer.

Denn bisher mussten die Daten- und Netzwerkschützer nur rund 250 Internet-Adressen okkupieren oder sperren, um das Nachladen zu verhindern. Diesmal aber, sagt Dirk Kollberg von der IT-Sicherheitsfirma McAfee, geht es um 50.000 mögliche Nachlade-Adressen. Die Sicherheitsexperten finden das bedrohlich.

Warum kann sich Conficker überhaupt noch verbreiten?

Dass der Wurm sich überhaupt noch verbreitet, verstehen viele Nutzer nicht. Denn Conficker nutzt ja eine Sicherheitslücke in Windows-Systemen aus, die auch schon im Oktober 2008 längst bekannt und geflickt war. Alle IT-Sicherheitsfirmen bieten mit ihren Produkten Schutz gegen den Wurm. Doch so einfach ist die IT-Welt nicht, gerade wenn es um große Netzwerke wie die von Firmen und Behörden geht.

Denn auch die Sicherheits-Patches für ein Programm können Probleme verursachen. Deshalb testen die IT-Abteilungen solche Flicken gern erst selbst, bevor sie sie in ihren Netzwerken installieren: Ein Administrator, sagt Hardy, spiele so einen Patch nicht einfach "in ein Live-System ein". Auch Kollberg hat dafür Verständnis: "Sollte das Update einen produktionsrelevanten Prozess stören, könnte hierdurch ein großer Schaden entstehen."

Wenn sich dann ein Schädling verbreitet, bevor die Installation erfolgt ist, ist die Sache gelaufen. Denn wie viele andere Viren und Würmer auch setzt Conficker als erstes Virenschutz-Software außer Gefecht, verhindert die Updates der Sicherheits-Software. Aus befallenen Systemen heraus verbreitet sich Conficker dann auf jedem denkbaren Weg - bis zur Huckepack-Verbreitung über befallene USB-Sticks.

Wie viele Rechner dort draußen nun befallen sind, wie viele Netzwerke am 1. April das große Selbst-Update versuchen werden, darüber wagen auch die IT-Sicherheitsfirmen keine Schätzungen mehr. Im ersten Conficker-Schock hatten sich einige mit Zahlen bis zu 50 Millionen vorgewagt, inzwischen rechnet man eher mit einer hoch sechsstelligen oder klein einstelligen Millionenzahl - ohne damit zitiert werden zu wollen. Keine Frage, damit ließe sich eine Menge Schaden anrichten. Am 1. April?

Möglich, aber vielleicht ist auch das wieder ein Bluff, ein Scherz, ein Teil des Katz-und-Maus-Spiels. Sicher ist, dass Conficker das Selbst-Update versuchen wird, der Rest ist Spökenkickerei. Noch einmal Dirk Kollberg: "Welche Schäden in Zukunft, zum Beispiel durch das Herunterladen von weitere Dateien, entstehen werden, kann man nicht vorhersagen."

Nur, dass der Countdown läuft. Zu was auch immer.

Quelle : www.spiegel.de

[SiLæncer]

Der Conficker-Wurm ist in aller Munde und Betrüger nutzen das große Interesse daran, um vorgebliche Sicherheitsprogramme zu verbreiten. Dazu manipulieren sie die Trefferlisten von Suchmaschinen.

Viele Menschen sind offenbar verunsichert und wollen wissen, was der bekannte Conficker-Wurm (Alias: Downadup, Kido) am 1. April machen wird. Wer mit Suchmaschinen nach Informationen fahndet, läuft allerdings Gefahr seinen Rechner mit betrügerischen Sicherheitsprogrammen zu verseuchen. Diejenigen, die mit solchen falschen Antivirusprogrammen Geld verdienen, manipulieren die Suchergebnisse von Google und Co., um weit vorne in der Trefferlisten zu landen.

Wer auf einen solchen Link in der Trefferliste klickt, wird zum Beispiel automatisch zu einer vorgeblichen Video-Website umgeleitet. Diese präsentiert eine falsche Fehlermeldung, man benötige ein "Video ActiveX Object", um das Video abspielen zu können. Wer auf "OK" klickt, kommt zu einem Download-Dialog, um eine Datei namens "codec.exe" herunter zu laden. Hierbei handelt es sich um ein Trojanisches Pferd, das von Windows Defender als "TrojanDropper:Win32/Insebro.A" gemeldet wird. Spätestens an dieser Stelle sollte der Download abgebrochen werden.

In anderen Fällen landet man, wie John Park im Symantec Security Response Blog berichtet, gleich auf einer Seite, die im Browser-Fenster ein Abbild eines Fensters des Windows Explorer zeigt. Darin enthalten ist ein Fenster mit dem Titel "Windows Security Alert", das angeblich gefundene Schädlinge meldet. Besucher bekommen dann einen kostenlosen Virenscan angeboten.
Wer das Angebot annimmt, schaufelt sich eine betrügerische Antivirus-Software auf den PC, die nicht existierende Schädlinge meldet und dem Benutzer zu deren Entfernung die kostenpflichtige Vollversion der vorgeblichen Sicherheitslösung aufdrängt. Für den verlangten Preis bekäme man jederzeit eine komplette Schutzlösung eines renommierten Antivirusherstellers.

Erkennung durch Antivirusprogramme

Die Erkennung zweier aktueller Varianten der erwähnten Datei codec.exe durch Antivirusprogramme ist, vorsichtig ausgedrückt, recht bescheiden.

Quelle : www.pcwelt.de

[SiLæncer]

Der hartnäckige Computer-Wurm "Conficker" verbreitet sich weiterhin rasend schnell im Internet. Wie nun bekannt wurde, ist mittlerweile auch das Netzwerk des britischen Parlaments von dem Windows-Wurm befallen worden.

Wie 'CNET' unter Berufung auf einen Blogeintrag berichtet, arbeitet das Parlament daran, den Wurm von den infizierten Rechnern zu entfernen. "Wir überprüfen derzeit das Netzwerk und falls wir ein infiziertes Gerät entdecken sollten, werden wir dafür sorgen, dass dies vom Netz genommen wird, oder dass der Wurm vom Computer entfernt wird", heißt es in einer E-Mail an die Nutzer des Netzwerkes.

Weiter heißt es, dass die Mitarbeiter jegliche nicht autorisierten Geräte sofort vom Netzwerk trennen sollen, um vor neuen Infektionen geschützt zu sein. In einem Blogeintrag hat sich mittlerweile auch der Sicherheitsexperte Rik Ferguson von Trend Micro zu Wort gemeldet und zeigte sich verwundert darüber, dass überhaupt unautorisierte Geräte Zugriff auf das Netzwerk das Parlaments haben.

"Von all den Organisationen im ganzen Land würde man doch vom britischen Parlament am ehesten erwarten, dass eine Zugangskontrolle zum Netzwerk besteht, um damit nicht autorisierte Personen fernzuhalten", so Ferguson. Fraglich sei zudem die eingesetzte Sicherheitslösung, die den Befall des Netzwerkes nicht bemerkt habe.

Dass das Parlament allem Anschein nach Schwierigkeiten damit hat, den Wurm zu entfernen, ist dem Experten ein Rätsel. An das Parlament schreibt Ferguson deshalb: "Falls sie Probleme damit haben den Wurm zu entfernen, rufen sie uns an und wir kommen vorbei und entfernen den Wurm kostenlos."

Neben dem britischen Parlament sind in der jüngsten Vergangenheit auch zahlreiche Rechner der deutschen Bundeswehr vom Conficker-Wurm befallen worden. Für den 1. April befürchten Sicherheitsexperten einen Großangriff in Form einer Spam-Welle oder DDoS-Attacken.

Quelle : http://winfuture.de

[SiLæncer]

Am 1. April wird Conficker.C anfangen, sich im Web nach Updates umzusehen. Ein "Ausbruch des Computervirus" oder gar eine neue Virenwelle, wie teilweise in Medienberichten zu lesen war, ist dabei nicht zu befürchten. Ein Teil der bereits infizierten Windows-PCs wird seine Update-Routine aktivieren – das ist alles.

Antiviren-Experten gehen davon aus, dass mittlerweile weltweit mehrere Millionen PCs mit Conficker infiziert sind. Conficker.C ist nur eine von drei bekannten Versionen des Wurms; am weitesten verbreitet ist die B-Variante. Sie versucht bereits seit geraumer Zeit Updates von 250 Domains nachzuladen, die der Wurm täglich neu errechnet. Eine Initiative rund um Microsoft und ICANN hat den verwendeten Algorithmus bestimmt und beobachtet beziehungsweise blockiert diese Domains.

Deshalb haben die Wurm-Autoren bei Conficker.C die Latte weiter angehoben und die Zahl deutlich erhöht. 50.000 Domainnamen erstellt der Wurm jeden Tag und greift sich daraus zufällig 500, auf denen er tatsächlich nachschaut, ob ein Update bereitliegt. Zwar wurde auch dieser Algorithmus bereits geknackt, aber jeden Tag 50.000 Domains zu registrieren, übersteigt die Kapazitäten der Anti-Conficker-Aktivisten.

Es stellt sich natürlich die Frage, was Conficker.C auf den Servern finden wird. Die ehrlich Antwort lautet: Man weiß es nicht. Es spricht jedoch einiges dafür, dass am 1. April überhaupt nichts passieren wird. So weisen etwa die Antiviren-Experten von F-Secure in ihren FAQs darauf hin, dass ein eventuell geplantes Update genauso gut am 5. April stattfinden könnte, wenn die Aufmerksamkeit wieder etwas nachgelassen hat. Was ein solches Update dann bewirken könnte, ist derzeit reine Spekulation.

Quelle : www.heise.de

[SiLæncer]

Felix Leder und Tillmann Werner von der Uni Bonn haben den Conficker-Wurm analysiert und dabei unter anderem herausgefunden, dass er die Art und Weise ändert, wie Windows auf bestimmte Systemaufrufe reagiert. Das läst sich nutzen, um mit Conficker infizierte Systeme übers Netz aufzuspüren.

Konkret kann ein Scanner übers Netz die Funktion NetpwPathCanonicalize() aufrufen, die die Lücke enthielt, über die sich Conficker verbreitet. Conficker fängt diese Aufrufe ab und behandelt sie selbst. Dabei ändert sich in bestimmten Fällen der Rückgabewert, wenn Conficker seine Hand im Spiel hatte. Für einen solchen Test muss allerdings der TCP-Port 445 des Windows-Systems erreichbar sein, was übers Internet normalerweise nicht der Fall ist (und auch nicht sein sollte).

Der Rückgabewert der Funktion NetpwPathCanonicalize verrät den Wurm.

Leder und Werner haben als Machbarkeitsbeweis einen solchen Scanner geschrieben. Da sie in Zusammenarbeit mit Dan Kaminsky diese Informationen an die Conficker Working Group und andere Sicherheitsexperten weitergereicht haben, sollten demnächst auch Scanner von Dritten diese Funktion anbieten. Insbesondere kündigt Kaminsky passende Erweiterung für nmap, Tenable (Nessus), McAfee/Foundstone, ncircle und Qualys an.

Administratoren in Firmen tun gut daran, ihr Netz noch vor dem 1. April nach möglicherweise infizierten Systemen zu scannen. Ab diesem Datum beginnt Conficker.C Updates aus dem Internet nachzuladen, von denen niemand weiß, was sie bewirken. Eine ganze Reihe von AV-Herstellern bieten spezielle Programme zur Reinigung von Conficker an. Sicherer ist es, auf infizierten Systemen eine Neuinstallation durchzuführen und ein Backup einzuspielen.

Quelle : http://www.heise.de/security/Deutsche-Forscher-entwickeln-Netzwerk-Scan-fuer-Conficker-Wurm--/news/meldung/135434