Thema: Conficker in Kärnten: Nach der Landesregierung nun die Spitäler

[SiLæncer]

Felix Leder und Tillmann Werner von der Uni Bonn stellen heute die Ergebnisse ihrer Analyse des Conficker Wurms vor. Sie beschreiben nicht nur in einem Paper aus der Reihe "Know your Enemy" die Funktionsweise des Wurms sondern sie präsentieren auch eine Reihe von Tools, mit denen man vor dem Wurm imunisieren oder ihn aufspüren und auch sauber entfernen kann. Und schließlich haben sie auch ein Problem entdeckt, über das man anscheinend Conficker sogar direkt angreifen könnte.

Sollte es noch eines Beweises bedurft haben, dass Conficker kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Conficker selbst tut, dann dekodiert er den darin enthaltenen Shellcode. Der versucht typischerweise den eigentlichen Wurmcode nachzuladen; die dafür verwendete URL extrahiert Conficker aus dem Shellcode und lädt das Wurm-Programm dann selber.

Doch damit nicht genug. Conficker testet sehr genau, ob es sich um eine aktuellere Version seiner selbst handelt. Er erwartet dazu eine digitale Signatur, die mit einem geheimen RSA-Schlüssel des Wurm-Autors erstellt sein muss. Es ist quasi aussichtslos, Conficker auf diesem Weg etwas unter zu schieben; die Entwickler haben für den Wurm einen dezentralen Auto-Update-Mechanismus implementiert, den die Forscher für praktisch unknackbar halten.

Der Scanner durchsucht jeden Prozess nach den charakteristischen RSA-Schlüsseln.

Trotzdem lassen sich die Ergebnisse von Leder und Werner gezielt gegen den Wurm einsetzen. Indem sie im Hauptspeicher nach den eindeutigen RSA-Keys zum Überpüfen der digitalen Signaturen suchen, können sie die Threads des Wurms gezielt aufspüren und beenden. Außerdem haben sie die eingesetzten Algorithmen für Pseudozufallszahlen und deren jeweilige Initilialisierungsparameter erforscht und nachgebaut. So stellen sie Tools bereit, mit denen man die pseudozufällig ermittelten Domainnamen errechnen kann, zu denen Conficker zu einem bestimmten Zeitpunkt Kontakt aufnimmt. Auch die Dateinamen und Registry-Einträge lassen sich mit einem Tool nachbauen. Des weiteren haben sie ein Programm geschrieben, das im System bestimmte Mutexe setzen kann, bei deren Vorhandensein Conficker glaubt, das System sei bereits infiziert und deshalb keine Infektion durchführt. Bereits gestern präsentierten die beiden einen Scanner, der Conficker übers Netz an den Rückgabewerten bestimmter Funktionsaufrufe erkennt.

Und schließlich haben die Honeynet-Experten in Conficker dann doch noch eine Schwachstelle in Conficker entdeckt. Die Details dazu wollen sie allerdings in Absprache mit der Conficker Working Group vorläufig nicht veröffentlichen. Im veröffentlichten Paper heißt es nur noch ominös, dass die Originalversion ein Problem beschrieben habe, das sich "ausnutzen" lasse. Auf Nachfragen von heise Security, ob auf diesem Weg eventuell eine Reinigung übers Netz möglich sei, verwiesen die beiden auf eine Absprache mit der Conficker Working Group, die ihnen in dieser Angelegenheit jeden Kommentar untersagt.

Damals beim Sturmwurm haben die die Forscher aus rechtlichen und moralischen Erwägungen darauf verzichtet, selbst aktiv gegen die infizierten Zombies vorzugehen. Allerdings war das Sturmwurmnetz zu diesem Zeitpunkt auch bereits recht dezimiert und keine echte Bedrohung mehr. Anders präsentiert sich die Situation bei Conficker: Hier spricht man derzeit von mehreren Millionen infizierter Rechner und die internationale Security-Industrie hat sich zur Conficker Working Group zusammengeschlossen, um gegen den Wurm vorzugehen. Die hat bereits Tausende von Domains registriert, um ein Update von Conficker.A/B auf Version C zu verhindern und eine Prämie von 250.000 US-Dollar auf Hinweise zur Ergreifung der Hintermänner ausgesetzt. Man darf gespannt sein, ob sie jetzt auch Maßnahmen zur gezielten Ausschaltung des Wurms in Betracht ziehen.

Siehe dazu auch:

    * Know Your Enemy: Containing Conficker, das Paper des Honeynet-Projekts
    * Containing Conficker, Tools and Infos von Felix Leder und Tillmann Werner

Quelle : www.heise.de

[SiLæncer]

Die Angst vor Conficker hat nach Berichten mehrerer Antivirenhersteller nun erste Trittbrettfahrer auf den Plan gerufen. Diese versuchen vermeintliche Entfernungs-Tools für Conficker unter die Leute zu bringen. Laut F-Secure stößt man unter anderem bei der Google-Suche nach Conficker-Removal-Tools Recht schnell auf solche dubiosen Angebote, die viel versprechen und wenig halten – oder den PC erst recht mit einem Schädling infizieren.

Die Trittbrettfahrer stammen in der Regel aus dem Dunstkreis der Scareware-Hersteller, also Herstellern von Programmen, die den Anwender mit Hiobsbotschaften über den Zustand des PCs zum Kauf von funktionsloser Antivirensoftware bewegen wollen.

Die Suche auf Google können sich die Anwender aber sparen und gleich funktionierende und virenfreie Conficker-Removal-Tools kostenlos von den Seite der Antivirenhersteller laden. Unter anderem bieten Sophos, Symantec, F-Secure und Kaspersky und BitDefender derartige Programme an.

Apropos Tools: Nach der Veröffentlichung des Conficker-Scantools von Felix Leder und Tillmann Werner von der Uni Bonn, mit dem sich infizierte Systeme übers Netz aufspüren lassen, haben nun weitere Anbieter nachgezogen. Der Netzwerkscanner nmap unterstützt in der aktuellen Version (4.85BETA5) die Suche nach Conficker-verseuchten Rechnern. Die Zeile nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d ip-adresse soll dann den Test ausführen.

Tenable hat für Nessus ein "Conficker Detection"-Plug-in hinzugefügt. Der Sicherheitsdienstleister Qualys hat im Rahmen seines Online-Dienstes seit kurzem die Suche nach dem Wurm integriert. Der Hersteller nCircle bietet ebenfalls einen Conficker-Scanner für Netze an.

Quelle : http://www.heise.de/newsticker/Trittbrettfahrer-missbrauchen-Angst-vor-Conficker--/meldung/135515

[SiLæncer]

Wie erwartet hat die C-Variante des Conficker-Wurms am heutigen Mittwoch ihre Versuche begonnen, Kontakt mit zahlreichen Webseiten aufzunehmen, um Updates herunterzuladen oder Befehle entgegenzunehmen. Ebenfalls wie erwartet hat dies aber weder zu Beeinträchtigungen des Internetverkehrs noch zu einem neuen Ausbruch geführt – was allerdings auch daran liegen kann, dass die Wurmautoren nach Angaben von F-Secure bislang keine Updates auf den Seiten hinterlegt haben.

Auch Thomas Hungenberg vom CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erklärte gegenüber heise Security, dass keine Hinweise vorliegen, "dass mit der aktuellen Variante des Schadprogramms Conficker infizierte Systeme erfolgreich Programmcode über einen der generierten Domainnamen aus dem Internet nachladen konnten."

Ob der Wurm aber überhaupt Gelegenheit hatte, die Seiten zu erreichen oder diese bereits von der Conficker Working Group (CWG) blockiert wurden, ist derzeit unklar. Die CWG gibt dazu auch keine Informationen heraus. Alternativ hat Conficker.C jedoch noch die Möglichkeit, über seine Peer-to-Peer-Funktion Kontakt mit anderen Conficker-infizierten Maschinen aufzunehmen und von dort Updates nachzuladen oder Befehle abzuholen. Hier ist nach Angaben von McAfee offenbar aber ebenfalls noch nicht viel passiert.

Ohnehin ist der Anteil von Conficker.C gemessen an der Gesamtverbreitung von Conficker relativ gering. Die C-Abkömmlinge sind aus einem Update der B-Variante hervorgegangen, als es einigen davon trotz der Blockade-Versuche der Conficker Working Group gelang, Kontakt mit Update-Seiten aufzunehmen.

Grund für eine Entwarnung gibt es aber nach Angaben des BSI dennoch nicht. Die mit der aktuellen sowie auch mit früheren Varianten des Schadprogramms infizierten Systeme versuchen auch nach dem 1. April täglich Programmcode nachzuladen. Die Wurmautoren können also weiterhin jederzeit ein Update hinterlegen oder einen Befehl für eine bestimmte Aktion geben. Dass sie dies unter den Augen der vorgewarnten Weltöffentlichkeit am 1. April tun, war sowieso unwahrscheinlich.

Quelle : www.heise.de

[SiLæncer]

Der Wurm Conficker könnte mehr Rechner infiziert haben, als bisher angenommen wurde. Diese Befürchtung hat OpenDNS, ein Anbieter freier DNS-Dienste, geäußert. Dabei bezieht sich das Unternehmen auf eigene Zahlen.

OpenDNS hat rund 10 Millionen Kunden, von denen über 500.000 Anwender mit der jüngsten Variante des Conficker-Wurms, Conficker.C, infiziert wurden. Einen genauen prozentualen Anteil aller vom Conficker-Wurm betroffenen Anwender wollte OpenDNS aber nicht nennen. Das Unternehmen wies lediglich darauf hin, dass die Infektionen mit der Variante Conficker.C weit höher liegen, als vorab vermutet, so David Ulevitch, Gründer von OpenDNS.

Demnach habe Conficker.C am Mittwoch damit begonnen, einen neuen Algorithmus zu verwenden, um nach neuen Befehlen von seinem Macher Ausschau zu halten. Das hatte zunächst für die Befürchtung gesorgt, dass eine neue Attacke bevorsteht. Diese Befürchtung hat sich aber bisher nicht bestätigt und der Wurm verhält sich ruhig.

Bisherige Schätzung gehen davon aus, dass weltweit einige wenige Million bis zu 10 Millionen Rechner mit einer der Conficker-Varianten infiziert sind. Ulevitch ist allerdings der Meinung, dass die Zahl noch viel höher sein könnte, wenn man allein betrachte, wie viele Kunden bei OpenDNS betroffen sind. OpenDNS vertrete immerhin nur einen kleinen Anteil aller weltweit geschätzten 1,5 Milliarden Internet-Anwender.

OpenDNS hat die Conficker.C-Infektionen durch die Analyse spezieller DNS-Anfragen in ihrem Netzwerk ermittelt. Dabei wurde nach speziellen Mustern von DNS-Lookups Ausschau gehalten, die der Wurm verwendet. Bei dieser Analyse wurde aber nicht ermittelt, wie viele Rechner mit den älteren Varianten des Wurms Conficker.A und Conficker.B infiziert sind.

Laut den Zahlen von OpenDNS ist Vietnam das Land, das am härtesten vom Conficker-Wurm getroffen wurde. 13 Prozent aller Infektionen fanden in Vietnam statt. Es folgen Brasilien, Philippinen, Indonesien und Algerien.

Quelle : www.pcwelt.de

[SiLæncer]

Joe Stewart von SecureWorks hat einen einfachen Test entwickelt, der auf einen Blick zeigt, ob ein System mit einer der weit verbreiteten Conficker-Versionen infiziert ist. heise Security stellt eine deutsche Version dieser Testseite bereit.

Fehlen auf der Testseite wie hier bestimmte Bilder, ist das System wahrscheinlich infiziert.

Wenn man den Verdacht hat, dass ein System mit Conficker infiziert ist, kann man der installierten Antiviren-Software nicht mehr vertrauen. Denn die Schadsoftware beendet eine Reihe von Sicherheitsdiensten und verhindert den Start bestimmter Programme. Der neue Test beruht auf der Tatsache, dass Conficker den Zugriff auf diverse Sicherheits- und Antiviren-Seiten blockiert. Dazu bindet eine Seite Bilder von normalen und von blockierten Sites ein. Erscheinen nur die Bilder der AV-Hersteller nicht, ist die Wahrscheinlichkeit hoch, dass der Rechner mit Conficker infiziert ist – oder einem anderen Schädling, der sich ähnlich verhält.

Auf jeden Fall ist es dann eine gute Idee, dem System beispielsweise mit Knoppicillin zu Leibe zu rücken, oder zumindest eines der Conficker-Removal-Tools zu Rate zu ziehen. Dabei sollte man allerdings keinesfalls blindlings dem ersten Suchergebnis folgen, sondern gezielt einen vertrauenswürdigen Hersteller ansteuern (siehe: Trittbrettfahrer missbrauchen Angst vor Conficker).

Der Test hat allerdings einige Einschränkungen, die man beachten muss. So filtert Conficker Zugriffe, indem er sich in dnsapi.dll einklinkt und dort DNS-Anfragen blockiert. Das betrifft Anwender, die einen Proxy einsetzen, nicht. Damit eignet sich der Test unter anderem nicht für den Einsatz in Firmennetzen. Dort empfiehlt sich der Einsatz eines Netzwerk-Scanners, der Conficker erkennen kann.

Außerdem blockierte die Ur-Version Conficker.A noch keine DNS-Anfragen, sodass man eine Infektion damit über die Testseite nicht entdecken kann. Allerdings ist Conficker.A im Vergleich zu seinen Nachfolgern Conficker.B/C nicht sonderlich weit verbreitet.

Fast schon peinlich ist allerdings, dass die Conficker Working Group einfach den Originaltest von Stewart übernommen hat, ohne einen Hinweis auf die fehlende Erkennung von Conficker.A zu ergänzen. Statt dessen findet sich dort die irreführende Erklärung: "Not Infected by Conficker". Man sollte eigentlich meinen, dass eine solche Organisation, in der sich Microsoft und alle namhaften AV-Hersteller engagieren, ihre Tests vor der Veröffentlichung auch testet.

Felix Leder und Tillmann Werner, die beiden Autoren der Honeynet-Conficker-Analyse, haben ebenfalls einen Test entwickelt, der auf den durch Conficker blockierten DNS-Anfragen beruht. Sie setzen CSS-Stylesheets ein, um eine Diagnose auf möglichen Conficker.B/C-Befall zu stellen.

Siehe dazu auch:

    * Conficker-Test auf heise Security

Quelle : www.heise.de

[SiLæncer]

Der Conficker-Wurm ist offenbar stärker verbreitet als bisher angenommen. Dies vermeldet zumindest Internet Security Systems (ISS), die Sicherheits-Sparte des IT-Konzerns IBM.

Binnen 24 Stunden haben die Experten von ISS demnach rund 2 Millionen Rechner im Internet gescannt und nach Spuren von Conficker gesucht. Das Ergebnis: 4 Prozent der Rechner waren befallen. Auch wenn man bedenkt, dass es sich um den aggressivsten Wurm der letzten Jahre handelt, überraschten diese Zahlen.

"Das ist mehr, als wir erwartet haben. Ich nahm an, letztlich einen Wert von 1 bis 2 Prozent zu erhalten", sagte Holly Stewart, Sicherheitsexperte bei ISS. Gesucht wurde dabei nach der neuesten Version Conficker.C, die nach selbstständigen Updates der Malware aktuell am aktivsten ist.

Schätzungen zur Verbreitung gingen nach absoluten Zahlen bisher von einigen hunderttausend bis maximal 4 Millionen befallenen Systemen aus. Rechnet man die Untersuchungsergebnisse von ISS auf die Gesamtzahl der Windows-PCs im Internet hoch, dürften es aber doch einige zehn Millionen sein.

Es könnte zwar sein, räumen die Experten ein, dass man zufällig ein Spektrum an IP-Adressen scannte, in dem die besonders anfälligen privaten Breitbandnutzer überdurchschnittlich hoch vertreten sind. Doch auch dann wäre die Zahl der infizierten Systeme immens hoch und auf jeden Fall im obersten Bereich der bisherigen Schätzungen anzusiedeln.

Quelle : http://winfuture.de

[SiLæncer]

Die Autoren des Neeris-Wurms versuchen offenbar, die erfolgreiche Verbreitung von Conficker zu kopieren. Nach Angaben von Microsoft tauchte jetzt eine neue Version dieses Schädlings auf.

Neeris ist ein relativ alter Wurm. Erstmals war er im Jahr 2005 im Umlauf. Jetzt ist eine veränderte Variante aufgetaucht, die die gleiche Sicherheitslücke wie Conficker zur Verbreitung nutzt. Microsoft behob die Schwachstelle zwar bereits im letzten Jahr, allerdings ist der Patch auf vielen Rechnern wohl noch nicht eingespielt.

Ebenso wie Conficker kann die neue Neeris-Version PCs aber auch über die Autostart-Funktion von USB-Sticks befallen. Die ersten Infektionen mit dem Wurm wurden am 31. März registriert. Offenbar wollten die Autoren die erwarteten - aber ausbleibenden - massiven Angriffe Confickers am 1. April nutzen, um selbst unbemerkt schneller Verbreitung zu finden.

In seiner ursprünglichen Fassung trug Neeris einen Bot für den Internet Relay Chat (IRC) mit sich und befiel Rechner über eine Schwachstelle im MSN Messenger. Im Laufe der Zeit kamen weitere Verbreitungsmechanismen hinzu - seine Hauptaufgabe, als Bot IRC-Channels offen zu halten, übt Neeris aber weiterhin aus.

Quelle : http://winfuture.de

[SiLæncer]

Ab sofort bietet heise Security eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Web-Seiten, die versuchen, eine Infektion zu diagnostizieren, sowie zu Reinigungs-Tools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.

Microsoft und die Hersteller von Antiviren-Software haben sich in der Conficker Workinggroup zusammengeschlossen. Sie bieten ebenfalls eine zentrale Anlaufstelle unter www.confickerworkinggroup.org mit Informationen zu dem Windows-Wurm und einem Web-Test.

Da der Domainname den Begriff conficker enthält, wird der Zugriff auf www.confickerworkinggroup.org jedoch durch den Schädling blockiert, sodass Betroffene diese Seiten unter Umständen nicht erreichen können. Diese Information wurde Anfang März publiziert; Microsoft dokumentiert es in seiner Conficker-Analyse. Die Domain "confickerworkinggroup.org" wurde laut whois am 26. März registriert.

Siehe dazu auch:

    * Die heise Security Infoseite zu Conficker

Quelle : www.heise.de

[SiLæncer]

Nach Angaben von Trend Micro hat der Wurm Conficker.C (respektive Downad) jetzt doch begonnen, Updates nachzuladen – allerdings nicht über die von vielen beobachteten Webseiten, sondern über seine Peer-to-Peer-Funktion. Darauf gestoßen waren die Experten durch die Beobachtung des Windows-Temp-Ordners und des Netzwerkverkehrs eines infizierten Systems. Anders als Conficker.A und .B kann Version .C mit anderen infizierten Systemen ein P2P-Netz etablieren und so weitere Programme nachladen und Befehle entgegennehmen. Laut Trend Micro ist der P2P-Betrieb jetzt in vollem Gange.

In diesem Fall holte sich das untersuchte System sein verschlüsseltes Update von einem P2P-Node in Korea und installierte es. Damit verwandelt sich der Wurm laut Trend Micro in die E-Variante, die neue Eigenschaften aufweist. Unter anderem versucht sie auf einem System alle Spuren zu verwischen, in dem sie etwa bisherige Registry-Einträge löscht und fortan mit zufälligen Dateinamen und Dienstnamen arbeitet. Zudem öffnet der Wurm nun den Port 5114 und lauscht mit einem eingebauten HTTP-Server auf Verbindungsanfragen. Zusätzlich nimmt er Verbindungen mit den Domains myspace.com, msn.com, ebay.com, cnn.com und aol.com auf, um zu testen, ob eine Verbindung ins Internet besteht.

Der Wurm soll sich nur noch über die Windows-Sicherheitslücke verbreiten. Nach Angaben von BitDefender blockiert die neue Variante nicht nur den Zugang zu den Web-Seiten der Antivirus-Hersteller, sondern auch den Zugriff auf kürzlich angekündigte Web-Seiten mit Removal-Tools, welche die vorherigen Versionen des Conficker-Wurms beseitigen konnten. Davon betroffen ist laut BitDefender schon die Tool-Seite von BitDefender (http://bdtools.net) sowie Internetseiten anderer Anbieter.

Laut den Analysen soll sich Downad/Conficker in der neuesten Fassung aber am 3. Mai 2009 deaktivieren. Ob er bis dahin ein neues Update zieht, ist unklar. Zudem haben die Virenspezialisten vereinzelte Verbindungen zu Domains beobachtet, die in Verbindung mit dem Botnet Waledac stehen. Auch Symantec hat ähnliche Beobachtungen gemacht. Eine vom Conficker heruntergeladene Datei (484528750.exe) soll den Bot Waledac enthalten haben. Bislang wollen sich aber weder Trend Micro noch Symantec näher zu der Verbindung von Conficker und Waledac äußern.

heise Security bietet eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Tests, die eine Infektion diagnostizieren können, darunter auch eine neue heise-Security-Seite mit einem noch weiter vereinfachten Test. Zudem finden Sie dort Links zu Reinigungstools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.

Quelle : www.heise.de

[SiLæncer]

Es wurde spekuliert, gewartet und durchgeschnauft: Bislang beschränkte sich der äußerst intelligent programmierte Conficker-Wurm vor allem auf Selbstschutzmaßnahmen, etwa indem er unterschiedliche Kommunikationswege öffnet (Conficker.C kann Peer-to-Peer-Netze mit anderen infizierten Systemen aufbauen), um sich mit nachgeladenem Code selbst zu modifizieren, oder indem er sich aktiv gegen Antiviren-Software und Sicherheitsanalyse-Tools zur Wehr setzt. Selbst am 1. April, der Tag, von dem man wusste, dass Conficker.C nach Updates suchen würde, passierte so gut wie nichts. Jetzt aber kommt erstmals Geld ins Spiel: Auf Rechner, die mit dem Conficker-Wurm infiziert sind, wird das Programm "SpywareProtect2009" geladen, eine sogenannte Scareware.

Mit Scareware-Produkten wie "Antivirus 2009", "Malwarecore", "WinDefender", "WinSpywareProtect", "XPDefender" oder aber eben "SpywareProtect2009" verdienen Betrüger viel Geld. Zunächst wird dem Anwender ein kleines Programm untergejubelt, das nervige Pop-up-Informationen über eine angebliche Infektion des PCs anzeigt – solange, bis unbedarfte Anwender weichgekocht sind und Geld für dubiose Antiviren-Produkte zahlen, die meist mit Namen aufwarten, von denen man glaubt, sie schon einmal gehört zu haben. Wer Glück hat, ist sein Geld los, dafür aber aus dem Spiel – wer Pech hat, lädt mit der erworbenen Software nun tatsächlich Schädlinge auf den PC, die ihn dann womöglich in einen Bot verwandeln, um darüber Spam zu versenden. Microsoft etwa säuberte Ende vergangenen Jahres über das Malicious Software Removal Tool (MSRT) in kurzer Zeit fast eine Million Windows-PC von Scareware. Weitere Informationen liefert der heise-Security-Artikel Scharlatane und Hochstapler.

Einer Analyse der Kaspersky Labs zufolge tauschen die infizierten Zombies über die Peer-2-Peer-Strukturen neben dem Conficker-Update auch die Adresse von Servern in der Ukraine aus, von denen sie dann "SpywareProtect2009" herunterladen und installieren. Das entdeckt dann natürlich diverse Bedrohungen, deren Entfernung den Anwender 49,95 US-Dollar kosten soll, die man via Visa oder Mastercard entrichten kann. Die Ukraine spielte übrigens bereits früher eine Rolle: Conficker.A enthielt einen sogenannten "Selbstmordschalter", der immer dann in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.

Außerdem berichtet Felix Leder von der Uni Bonn, der gemeinsam mit seinem Kollegen Tillmann Werner von der Universität Bonn zuletzt durch die Entmystifizierung des Conficker-Wurms von sich reden machte, dass die neue Conficker-Variante weitere Domains blockiert. Unter anderem gehört dazu der Server der Uni Bonn mit dem Conficker-Test. Dieser ist deshalb vorläufig umgezogen.

Quelle : www.heise.de

[SiLæncer]

Trotz der umfassenden Berichterstattung über den Wurm Conficker lassen die bisher ergriffenen Sicherungsmaßnahmen durch die Nutzer zu wünschen übrig. Das bemängelt das Sicherheitsunternehmen Qualys.

Selbst in Unternehmen ist das Bewusstsein über die notwendigen Schutzmaßnahmen unter den Verantwortlichen noch recht gering ausgeprägt. Etwa jeder fünfte PC an Firmenarbeitsplätzen ist noch nicht mit dem bereits im Oktober 2008 bereitgestellten Patch ausgestattet, der ein von Conficker ausgenutztes Sicherheitsproblem behebt.

Den Anteil habe das Unternehmen nach eigenen Angaben durch eine automatisierte Prüfung von 300.000 PCs bei seinen Kunden herausgefunden. Es sei allerdings nicht so, dass die Administratoren nichts von Conficker gehört hätten. Als verstärkte Aktivitäten Confickers für den 1. April angekündigt wurden, wurden vier mal mehr Systeme als üblich in den Firmen auf Infektionen gescannt - der Patch aber meist weiterhin nicht eingespielt.

Einen positiven Trend gibt es jedoch, betonten die Sicherheitsexperten von Qualys. Demnach lag der Anteil ungepatchter Rechner vor einigen Wochen noch deutlich höher. Die Berichterstattung führte demnach immerhin dazu, dass der Anteil von Rechnern ohne Aktualisierung seit Ende März von 40 auf rund 20 Prozent sank.

Quelle : http://winfuture.de

[SiLæncer]

Der neueste Trick von Kido sind Fenster, die ständig von alleine geöffnet werden und die die Betoffenen dazu auffordern, ihren Computer für rund 50 US-Dollar vom nervigen Schadprogramm bereinigen zu lassen. Daneben entwickelt sich der Wurm zu einer extrem effektiven Spam-Schleuder: Bei derzeit zirka fünf Millionen infizierten Computern können in nur 24 Stunden 400 Milliarden Spam-Nachrichten verschickt werden. Der Conficker droht damit zur nächsten Seuche im Web zu mutieren.

Kaspersky Lab warnt neben zahlreichen anderen Herstellern vor einer neuen Version von Kido, auch bekannt als Conficker oder Downadup. In der Nacht von Gründonnerstag nahmen Rechner, die mit Trojan-Downloader.Win32.Kido (Conficker.c) infiziert waren, über Peer-to-Peer-Verbindungen Kontakt miteinander auf. Die infizierten Maschinen erhielten die Anweisung, Updates herunterzuladen und damit das Kido-Botnet zu aktivieren.

Die neue Kido-Modifikation weist einen signifikanten Unterschied zu seinen Vorgängern auf: Nachdem er als Wurm so viele Opfer wie möglich infiziert hat, wird er zu einem Trojan-Downloader, um am Ende wieder die Form eines Wurms anzunehmen. Die Hersteller der Antivirensoftware gehen davon aus, dass Kido seine gefährliche Funktion nur bis zum 3. Mai 2009 beibehalten wird. Doch Kido lädt nun nicht nur Updates der eigenen Schadsoftware auf die infizierten Rechner, sondern auch zwei neue infizierte Dateien. Bei der einen Datei handelt es sich um eine bösartige Antiviren-Applikation, auch Scareware genannt. Sobald das Programm läuft, poppt beim Opfer in regelmäßigen Abständen ein Fenster auf, die dem User mitteilt, dass sein Rechner infiziert sei. Er erhält dabei die Möglichkeit, die angeblich entdeckten Viren zu einem Preis von 49,95 US-Dollar löschen zu lassen. FraudTool.Win32.SpywareProtect2009.s wird über ukrainische Webseiten verbreitet und ist so lästig, dass voraussichtlich viele User auf das Desinfizierungs-Angebot klicken werden. Die zweite Datei, die Kido auf die infizierten Rechner lädt, ist ein E-Mail-Wurm namens Iksmas, der auch als Waledac bekannt ist. Worm.Win32.Iksmas.atz, der im Januar 2009 entdeckt wurde, stiehlt Daten und verschickt Spam. Schon damals bemerkten viele IT-Experten eine Ähnlichkeit zwischen Kido und Iksmas. Die Kido-Epidemie ist mit der von Iksmas ausgelösten E-Mail-Epidemie, vergleichbar. Während einer Zeitspanne von zwölf Stunden nahm Iksmas mehrmals Kontakt zu weltweit verteilten Kontrollzentren auf. Er erhielt von dort den Befehl, Spam-Mails zu verschicken. In nur zwölf Stunden verschickte ein einziger Bot 42.298 Junkmails. Nahezu jede E-Mail enthielt ihre eigene Domain. Dies wurde offensichtlich mit der Absicht getan, die Spam-Filter beim Aufspüren der Massennachrichten zu hindern. Die Filter analysieren dabei die Frequenz, mit der eine spezifische Domain benutzt wird. Insgesamt wurden 40.542 Domains des dritten Levels und 33 des zweiten entdeckt. Praktisch alle Seiten waren in China registriert - wahrscheinlich mit falschem Namen und Adresse.

Eine simple Kalkulation zeigt, dass ein Iksmas-Bot rund 80.000 E-Mails in 24 Stunden verschicken kann. Angenommen, es gibt wirklich bis zu fünf Millionen infizierte Rechner da draußen, so könnte das Botnet laut Kalkulationen von Kaspersky Lab ungefähr 400 Milliarden Spam-Nachrichten in nur 24 Stunden verschicken. Eine wahre Flut an unerwünschten Nachrichten wird erneut durchs Netz gehen. Man darf gespannt sein, was sich die findigen Programmierer als Nächstes einfallen lassen. Die Wurmkur zum Preis von 50 Dollar werden so viele Personen in Anspruch nehmen, dass sich die aufwendige Entwicklung der neuartigen und überaus flexiblen Schadware lohnt. Bei derartigen Gewinnaussichten bleibt kritisch abzuwarten, ob man den Wurm tatsächlich Anfang Mai wieder freiwillig deaktivieren wird.

Quelle : www.gulli.com

[SiLæncer]

Die Conficker Working Group (CWG), in der eine Reihe von IT-Unternehmen zusammengeschlossen sind, hat jetzt eigene Zahlen zu der Verbreitung des Conficker-Wurmes bereitgestellt.

Demnach liegen die Schätzungen verschiedener einzelner Sicherheits-Dienstleister, die von bis zu 12 Millionen infizierten Systemen sprachen, klar zu hoch. Dies ändert aber nichts daran, dass Conficker das derzeit wohl größte Botnetz aufgebaut hat.

Nach einer Analyse der Gruppe sind 4,6 Millionen einzelne IP-Adressen registriert worden, hinter denen infizierte Rechner stehen. Der Großteil davon - 3,4 Millionen - ist allerdings noch mit den älteren Versionen A und B ausgestattet. Die neuere und aggressivere Variante Conficker C ist demnach auf 1,2 Millionen Systemen zu finden.

Die höchsten Infektionsraten sind nach Angaben der Sicherheitsexperten in China, Brasilien und Russland zu finden. "Wir hoffen, dass die Veröffentlichung dieser Zahlen etwas mehr Sachlichkeit in das Thema bringt", sagte Andre DiMino, Mitbegründer der "Shadowserver Foundation", die auch in der CWG mitarbeitet.

Allerdings muss auch DiMino einräumen, dass die Zählmethode nicht perfekt ist. Da man die IP-Adressen zählt, auf denen eine Conficker-Infektion angemessen werden kann, würden Privatnutzer mit wechselnden, dynamischen IP-Adressen eine höhere Infektionsrate vorgaukeln. Firmen, bei denen sich mehrere Rechner hinter einer einzelnen Adresse verbergen, würden dies aber voraussichtlich wieder ausgleichen.

Die CWG wurde vor einiger Zeit von Microsoft ins Leben gerufen. Ihr gehören unter anderem AOL, die ICANN, Verisign und eine Reihe anderer bedeutender IT-Firmen und -Organisationen an. Die Gruppe arbeitet unter anderem daran, Conficker-infizierten PCs den Zugang zu Servern zu verwehren, auf denen der Wurm nach Updates und neuen Befehlen sucht.

Quelle : www.gulli.com

[SiLæncer]

Der Wurm Conficker hat offenbar mehrere Hundert PCs und wichtige medizinische Apparate in einer Reihe von Krankenhäusern infiziert. Dies sagte der Sicherheitsexperte Marcus Sachs anlässlich der RSA Konferenz dem US-Portal 'Cnet'.

Sachs, Chef des SANS Internet Storm Center (ISC), warnte davor, die von Internet-Würmern ausgehende Gefahr zu unterschätzen. Zwar sei die Infektion im Falle der Krankenhäuser nicht weit verbreitet gewesen, das Problem habe aber auch ohne weiteres zahllose andere Rechner, die für kritische Infrastruktur oder medizinischen Versorgung notwenig sind, betreffen können.

Bisher sei unklar, wie genau der Wurm auf die Systeme gelangen konnte. Es handelte sich um Rechner verschiedenster Art, die unter anderem zur Steuerung von Überwachungssystemen wie Herz-Monitoren oder auch Untersuchungsgeräten wie Magnetresonanztomographen eingesetzt sind.

Die PCs waren allesamt älteren Baujahrs und laufen mit Windows NT und Windows 2000 in einem lokalen Netzwerk, das eigentlich keinen Internetzugang haben soll. Da es aber offenbar eine Verbindung zu einem anderen Netzwerk mit Internetzugriff gab, gelangte der Wurm in das geschlossene Netz. Nach Angaben von Sachs waren die Systeme einfach zu alt, um von dem von Microsoft veröffentlichen Patch gegen Conficker zu profitieren.

Quelle : http://winfuture.de

[Jürgen]

Bisher sei unklar, wie genau der Wurm auf die Systeme gelangen konnte.

...per Datenträgeraustausch.
Also z.B. mit Röntgenbildern oder Blutwerte-Tabellen per CD-ROM, USB-Stick oder von mir aus vielleicht auch über die Gesundheitskarte...
Oder über den Laptop oder das Handy irgendeines "Halbgottes in Weiss" mit Langeweile...