Thema: Conficker in Kärnten: Nach der Landesregierung nun die Spitäler

[SiLæncer]

Der Conficker-Wurm, der seit dem letzten Dezember zahlreiche Rechner befiel, erhält nun die ersten praktischen Aufgaben von seinen Autoren. Bisher verbreitete er sich nur, verhielt sich ansonsten aber ruhig.

Der Wurm schloss die infizierten PCs zu einem Botnetz zusammen. Da er regelmäßig nach Updates sucht und so stetig verändert und gesteuert werden kann, kann dieses für verschiedene Aufgaben genutzt werden. Ein Teil der von Conficker gekaperten PCs beginnt nun mit dem Versand von Spam, teilte das Sicherheitsunternehmen Symantec mit.

Allerdings überlässt der Wurm die eigentliche Arbeit einem anderen Schädling. Auf dem jeweiligen Rechner installiert er lediglich den Trojaner Waledac, der die Systeme in ein zweites Botnetz einbindet. Dieses ist bereits länger bekannt und wird hauptsächlich von Spammern verwandt.

"Das geht aber nicht schnell und aggressiv vor sich", sagte Vincent Weafer, Vice President bei Symantec Security Response. Am 3. Mai stellt Conficker sogar seine Unterstützung für Waledac wieder ein. Andere Aufgaben werden zwar voraussichtlich folgen, allerdings zeigt sich, dass die befürchteten Probleme bei einer plötzlichen Aktivierung des Wurms - wie sie verschiedentlich heraufbeschworen wurden - wohl nicht eintreten.

Quelle : http://winfuture.de

[SiLæncer]

Vom Conficker-Virus befallene Rechner im medizinischen Einsatz in verschiedenen US-Kliniken konnten aufgrund staatlicher Vorschriften nicht unverzüglich von der Schadsoftware befreit werden. Der Fall heizt die Diskussion um das von der US-Regierung forcierte Programm für mehr Cybersicherheit weiter an.

Wie Rodney Joffe, einer der Gründer der Conficker Working Group, gegenüber dem Nachrichtensender CBS erklärte, seien die betroffenen Computer unter anderem für die Berechnung und Analyse von Bildern in der Magnet-Resonanz-Tomografie (MRT) verwendet worden. Speziell für das Gesundheitswesen ausgearbeitete Vorschriften, die eigentlich dem Schutz von Patienten und Ärzten gelten, hielten die Krankenhäuser jedoch davon ab, die infizierten Rechner zu reinigen – in derartigen Fällen gelten Wartefristen von bis zu 90 Tagen, bevor die Systeme "manipuliert" werden dürften.

Den Behörden teilte Joffe mit, seine Organisation habe in den vergangenen drei Wochen über 300 kritische medizinische Systeme ausgemacht, die allesamt infiziert seien und alle vom gleichen Hersteller stammten. Die Rechner seien zudem vielfach nicht nur in unmittelbarer Nähe oder sogar direkt auf Intensivstationen der Kliniken im Einsatz, sondern außerdem über lokale Netzwerke mit dem Internet verbunden. Derart kritische Systeme dürften keinesfalls an das Internet gekoppelt werden, warnte Joffe.

Joffe lehnte in diesem Zusammenhang auch die Pläne der Obama-Regierung für ein neues US-Stromnetz ab. Wie eine Studie des US-Sicherheitsunternehmens IOActive gezeigt hatte, weisen die für den dortigen Einsatz geplanten Systeme erhebliche Sicherheitslücken auf, die Cyberattacken Tür und Tor öffnen könnten. Joffe wiederholte daher seine Forderungen, das U.S. Computer Emergency Readiness Team des Department of Homeland Security als Aufsichtsbehörde für Cybersecurity sowohl personell wie auch finanziell in die Lage zu versetzen, seine Aufgabe erfüllen zu können – unter der Kontrolle durch die Regierung.

Quelle : www.heise.de

[SiLæncer]

Die Conficker-Pandemie ist noch nicht gestoppt. Immer noch werden weltweit schätzungsweise 50.000 Rechner jeden Tag von Conficker angegriffen und infiziert. In Firmennetzen hält sich der Schädling hartnäckig.

Der Schädling Conficker (Alias: Downadup, Kido) ist zwar weitgehend aus den Schlagzeilen verschwunden, jedoch immer noch recht rege. Forscher des Antivirusherstellers Symantec schätzen, dass jeden Tag etwa 50.000 Computer mit Conficker infiziert werden und die Seuche weiter tragen. Unternehmen kämpfen darum ihre Netzwerke sauber zu bekommen, werden jedoch in ihren Bemühungen immer wieder zurück geworfen.

Im Blog "View From The Bunker" berichten Symantec-Forscher, die Länder mit den meisten Conficker-Infektionen seien die USA, Brasilien und Indien. Sie haben eine Karte erstellt, die die weltweite Verbreitung des Schädlings seit Februar dieses Jahres zeigt. Demnach ist Europa weniger stark betroffen als etwa Asien oder Amerika. Nur Italien und Großbritannien zeigen höhere Infektionsraten.

Das sollte jedoch nicht darüber hinweg täuschen, dass auch Privatanwender und Unternehmen in Deutschland immer noch von Conficker geplagt sind. In Unternehmen versuchen die IT-Abteilungen die Infektionen in den Griff zu bekommen, scheitern jedoch immer wieder daran, dass verseuchte Notebooks und USB-Sticks unkontrolliert ans Netz angeschlossen werden, bevor sie gesäubert werden konnten.

Rick Wesson, Mitglied der Conficker Working Group, weiß von großen Firmen, die bereits Millionen US-Dollar aufgewendet haben, um Conficker aus ihren Netzwerken zu bekommen. Zu den Betroffenen zählten viele der so genannten "Fortune 1000" - praktisch jeder sei betroffen, so Wesson. Sogar Microsoft habe noch damit zu kämpfen.

Befürchtungen, das mutmaßlich mehrere Millionen Rechner umfassende Conficker-Botnet könnte nach dem 1. April große Angriffswellen starten, haben sich indes nicht bewahrheitet. Das Botnet sei kaum nennenswert genutzt worden, meint Andre DiMino, Mitbegründer der Shadowserver-Stiftung. Viele hätten Conficker inzwischen als erledigt abgetan, der Schädling sei jedoch noch lange nicht tot.

Eugene Kaspersky, Gründer und Chef des gleichnamigen Antivirusherstellers, hat einen gewissen Respekt vor der Professionalität der Conficker-Bande geäußert. Er sei sich recht sicher, dass Conficker von der Ukraine aus gesteuert werde, beweisen könne er dies jedoch nicht. Es könnte jedoch schlimmer sein, meint Kaspersky, denn es seien nur Online-Kriminelle, die Geld machen wollten, nichts Übleres.

Quelle : www.pcwelt.de

[SiLæncer]

Er ist immer noch da und er legt offenbar wieder los: Der Windows-Wurm Conficker. War es zwischenzeitlich recht still um ihn geworden, ist die Zahl der infizierten Systeme nach der Statistik der Conficker Working Group (CWG) im Juni von etwas über vier Millionen (unique IPs) auf über fünf Millionen gestiegen. Die A-Variante ist allerdings etwas wählerisch: Sie greift keine Windows-Systeme an, die in der Ukraine beheimatet sind.

Um den Standort des anzugreifenden Rechners festzustellen, versucht Conficker sogenannte Geo-IP-Datenbanken abzufragen, die eine ungefähre Zuordnung der IP-Adresse zur Lage ermöglichen. Konkret greift Conficker.A auf die Geo-Datenbank der Firma MaxMind zu, die ihren Server allerdings kurz nach Ausbruch des Wurms auf eine andere Adresse verschob, um weitere Abfragen zu verhindern.

Dass der Wurm aber weiterhin die festcodierte Adresse aufruft, machen sich nun die Bonner Forscher Felix Leder und Tillmann Werner für die Eindämmung zunutze. Dazu haben sie eine Datenbank entwickelt und unter der von MaxMind zur Verfügung gestellte Adresse in Betrieb genommen. Die Datenbank gibt für jede abgefragte Adresse als Standort die Ukraine zurück. In der Folge wird das ausgesuchte System nicht angegriffen und nicht infiziert.

"Aktuell beobachten wir Millionen von Zugriffen pro Tag", berichtet Tillmann Werner. "Wie stark die Anzahl an Infektionen zurückgehen wird, müssen wir abwarten. Auf jeden Fall haben wir einen kleinen Teil dazu beigetragen, die Ausbreitung zu unterbinden." In der Tat stagniert die Zahl der infizierten Systeme seit dem vergangenen Wochenende nicht nur, sondern geht sogar zurück.

Nach Meinung der Forscher sei es nun wichtig, bereits infizierte Systeme zu bereinigen, damit die Infektion nicht wieder aufflackern kann. Dazu haben sie unter der Adresse http://four.cs.uni-bonn.de/conficker einige Hilfsprogramme zusammengestellt. Leder und Tillmann hatten bereits Anfang des Jahres eine Analyse des Wurms und Tools zum Aufspüren veröffentlicht.

Quelle : www.heise.de

[SiLæncer]

Der Wurm Conficker ist noch immer aktiv und richtet Unheil an. Nun hat es die Universität Oxford Brookes erwischt - betroffen waren vor allem öffentlich zugängliche PCs.

Es ist ruhig geworden um den Wurm Conficker, der es Anfang des Jahres noch in die Schlagzeilen der internationalen Tagespresse geschafft hat. Eine Infektion an der Universität Oxford Brookes zeigt allerdings, dass die Malware noch immer quicklebendig ist. Die Vertreter der Universität sahen sich gezwungen, einen Großteil des Netzwerks lahm zu legen, um die Infektion zu bekämpfen.

Es ist allerdings verwunderlich, dass Conficker nicht mehr Aufsehen erregt. Denn der Wurm ist zwar aus den Schlagzeilen verschwunden ist aber immer noch aktiv. Wie die Statistik der Conficker Working Group zeigt, waren am 03. Oktober 2009 noch immer 5,857,091 eindeutige IPs zu identifizieren, die von dem Wurm befallen sind.

Welchem Zweck diese massive Rechenpower dient, bleibt aber weiterhin im Unklaren. Vor einigen gab es Anzeichen, dass Conficker für die Verbreitung von Scareware genutzt wird, konkrete Informationen waren in letzter Zeit aber selten geworden.

Quelle : www.tecchannel.de

[SiLæncer]

 Massenhaft versandte Spam-Mails enthalten vorgebliche Warnungen vor dem Conficker-Wurm. Sie bringen einen schädlichen Anhang mit - ein Trojanisches Pferd, das Scareware installieren soll.

Die derzeitige Welle von Spam-artig verbreiteten Mails mit Malware setzt sich weiter fort. Während immer noch vorwiegend falsche Konfigurationsaufforderungen für Outlook verschickt werden, sind unter diesen Mails auch solche, die vor dem Conficker-Wurm warnen. Sie enthalten im Anhang ein ZIP-Archiv mit Malware. Diese lädt ein betrügerisches Schutzprogramm auf den Rechner, so genannte Scareware.

Die Mails kommen mit einem Betreff wie "Conflicker.B Infection Alert" und der gefälschten Absenderangabe "Microsoft Windows Agent". Im Text der Mails heißt es, der Wurm Conficker habe seit 18. Oktober begonnen Microsoft Kunden ungewöhnlich schnell zu infizieren. Im Anhang soll sich demnach ein Programm für einen "free system scan" befinden, das alle infizierten Dateien säubern soll. Die Empfänger werden aufgefordert das Programm zu installieren.

Der Anhang besteht aus einem etwa 30 KB großen, komprimierten ZIP-Archiv namens "install.zip". Es enthält die Programmdatei "install.exe" (44 KB). Dabei handelt es sich um einen Schädling - ein Trojanisches Pferd, das Scareware namens "Antivirus Pro 2010" aus dem Internet herunter lädt und installiert. Die soll den Anwender mit vorgetäuschten Virenfunden zum Kauf einer teuren und nutzlosen Vollversion des Programms nötigen.

Microsoft wie auch andere seriöse Software-Hersteller versenden niemals unaufgefordert Programmdateien per Mail. Falls Sie derartige Mails erhalten, öffnen Sie den Anhang nicht und löschen Sie die Mails.

Quelle : www.tecchannel.de

[SiLæncer]

Der bekannte Internet-Wurm Conficker hat einen fragwürdigen Meilenstein erreicht. Innerhalb von einem Jahr konnte er sieben Millionen PCs infizieren, fanden die Forscher von der Shadowserver Foundation heraus.

Obwohl Conficker allgemein bekannt ist, gibt es noch immer viele Systeme, auf denen sich der Wurm einnisten kann. Sicherheitsexperten gehen davon aus, dass es sich dabei in den meisten Fällen um Windows-PCs ohne gültige Lizenz handelt. Diese Maschinen können keine Patches über Windows Update herunterladen, die das Problem beseitigen würden.

Trotz seiner massenhaften Verbreitung, haben die Conficker-Autoren bislang kaum etwas Nützliches mit ihrer Macht angestellt. Laut der 'Conficker Working Group' könnte der Urheber Angst bekommen haben, nachdem seine kleine Entwicklung so viel Aufmerksamkeit bekommen hat. Sollte der Schuldige jemals gefunden werden, blüht ihm eine hohe Strafe, da der bislang verursachte Schaden kaum noch zu überschauen ist.

Conficker hat ein gewaltiges Botnetz aufgebaut, das nur darauf wartet, eine Aufgabe ausführen zu dürfen. Die Rechenleistung, die hinter diesem Netzwerk steht, übersteigt die Leistung aller Supercomputer. Ganze Netzwerke würden sich mit einem Angriff lahmlegen lassen.

Quelle : http://winfuture.de

[SiLæncer]

Der vieldiskutierte Computerschädling Conficker ist nach Angaben von Sicherheitsexperten trotz zahlreicher Gegenmaßnahmen noch immer auf 6,5 Millionen Computern weltweit installiert.

Die neue Statistikseite der ShadowServer Foundation zeigt die Verbreitung des Wurms. "Unser vorrangiges Ziel ist es, zu zeigen, wie weit und wie umfassend Conficker sich verbreitet hat und wo er wirklich Fuß gefasst hat," erklärt André DiMino, Gründer und Direktor der ShadowServer Foundation. Die Daten wurden von zahlreichen Freiwilligen gesammelt und aufbereitet.

Die Forscher unterscheiden drei Varianten des Schädlings, Conficker A, B und C. Conficker A und B verbreiten sich automatisch weiter, während der neuere Conficker C dies nicht tut. Wenig überraschend nimmt die Verbreitung der A- und B-Variante weiter zu, während die Anzahl mit Conficker C infizierter Maschinen rückläufig ist.

Die Verbreitung des Schädlings ist regional unterschiedlich. Während in manchen Ländern nur ein Prozent der Rechner oder gar weniger mit Conficker infiziert sind, sind es in besonders schlimm betroffenen Ländern (vor allem Vietnam, Indonesien und der Ukraine) über fünf Prozent.

Die Bemühungen der Sicherheitsexperten, infizierte Maschinen zu identifizieren und zu säubern, zeigen allerdings zumindest teilweise Erfolg. Im Oktober gab es insgesamt noch über 7 Millionen infizierter Rechner. Seitdem sind die Zahlen betroffener Maschinen im, wenn auch langsamen, Sinken begriffen.

Die ShadowServer Foundation kündigte an, jedem Admin, der mit ihnen Kontakt aufnimmt, kostenlos einen umfassenden Bericht zum Thema zur Verfügung zu stellen. Dieser enthält auch die IP-Adressen betroffener Maschinen.

Quelle : www.gulli.com

[SiLæncer]

Der Computerschädling Conficker ist offenbar weiter auf dem Rückzug. Zum Jahreswechsel nahm die Anzahl infizierter Rechner schlagartig massiv ab.

Wie die Sicherheitsexperten der Shadowserver Foundation und der Conficker Working Group, die den Schädling seit langem beobachten, erklären, nahm die Anzahl infizierter Rechner am ersten Januar schlagartig um rund 820.000 Rechner auf insgesamt 5,3 Millionen Rechner ab. Damit setzt sich ein Trend fort, der bereits im Dezember begonnen hatte. Auch im Dezember hatte die Zahl infizierter Rechner bereits abgenommen, allerdings weitaus langsamer als zuletzt.

Bisher wissen die Forscher nicht, was genau den Rückgang bewirkt hat. Eine Möglichkeit wäre, dass über die Feiertage schlicht weniger Rechner aktiv waren und somit ein Teil der infizierten Maschinen nicht in die Zählung einging. Ebenfalls wäre es möglich, dass einige Firmen die Feiertage und die damit verbundene ruhigere Zeit genutzt haben, um ihre Maschinen zu säubern. Für die erste Theorie würde sprechen, dass nach dem Jahreswechsel die Anzahl infizierter Rechner wieder leicht anstieg. Das Niveau von Ende Dezember ist allerdings noch lange nicht wieder erreicht.

Es bleibt interessant, zu beobachten, ob Conficker langsam aus dem Netz verschwindet. Möglich wäre theoretisch auch, dass die Autoren eine neue Version erstellen oder die infizierten Rechner als Botnet zu nutzen beginnen. Dafür allerdings gibt es bisher noch keine Anzeichen. Die Sicherheitsexperten werden wohl auch im neuen Jahr das tun, was sie bisher taten: Beobachten, von Conficker zur Kontaktaufnahme verwendete Domains registrieren sowie Admins und Benutzern Tipps zur Säuberung ihrer Server und PCs geben. 

Quelle : www.gulli.com

[SiLæncer]

Nachdem Mitte des vergangenen Jahres schon das Netzwerk der Stadtverwaltung von Manchester mit dem Conficker infiziert wurde, konnte der Wurm nun offenbar auch in das Netzwerk der Polizei von Manchester eindringen.

Aufmerksam wurde die Polizei von Manchester auf diesen Sachverhalt offenbar in der letzten Woche. Daraufhin wurden sämtliche Rechner des Netzwerks vom Internet getrennt, um eine weitere Ausbreitung des Schädlings zu verhindern. Die Systeme sind den getroffenen Angaben zufolge nach wie vor infiziert.

Der Conficker-Wurm nutzt unter anderem ungepatchte Sicherheitslücken in den Betriebssystemen von Microsoft, um in die Systeme eindringen zu können.

Wie der Schädling in diesem Fall jedoch in das Netzwerk gelangen konnte, teilte die Greater Manchester Police (GMP) noch nicht mit. Die Ermittlungen seien in diesem Zusammenhang noch im Gange, so ein Artikel der 'BBC'.

Die zugehörigen Mitarbeiter wurden inzwischen darauf aufmerksam gemacht, keine privaten USB-Sticks mehr am Arbeitsplatz zu verwenden, da sich der Conficker auch auf diesem Wege verbreiten kann.

Quelle : http://winfuture.de

[SiLæncer]

Die Sicherheitsexperten von 'ESET' warnen vor einer momentan kursierenden Spam-Welle im Zusammenhang mit einem angeblichen Patch gegen den Conficker-Wurm. Identifiziert wird der Trojaner als Win32/Kryptik.clu.

In der verschickten elektronischen Post, die vorgeblich von Microsoft stammen soll, ist die Rede von einer neuen Ausbreitung des Conficker-Wurms. Eine ausführbare Datei, die sich im Anhang dieser besagten E-Mails befindet, soll den Rechner auf eine Infektion überprüfen und zugleich das System bereinigen können.

In Wirklichkeit handelt es sich dabei aber um keinen Patch, sondern um einen Trojaner den ESET als Win32/Kryptik.clu bezeichnet. Sofern dieser Computerschädling auf dem System installiert wurde, kann er weitere Malware aus dem Internet herunterladen.

Aus Angst vor möglichen Schwachstellen in den Betriebssystemen und Anwendungen von Microsoft überprüfen viele Anwender ihre Systeme mehr denn je, teilte Martin Penzes von ESET mit.

Grundsätzlich befürwortet er ein solches Sicherheitsbewusstsein. Allerdings nutzen dies inzwischen immer mehr Cyberkriminelle zu ihren Gunsten aus, so Penzes. Im Allgemeinen ist es empfehlenswert, keine Anhänge von E-Mails aus dubiosen oder unbekannten Quellen zu öffnen.

Quelle : http://winfuture.de

[SiLæncer]

Vor über einem Jahr begann sich der Conficker-Wurm im Internet und über verseuchte USB-Sticks zu verbreiten. Die von einigen erwartete Katastrophe blieb aus, die Infektionen nehmen ab. Aber: noch immer ist jeder 10. PC für den Schädling anfällig.

Conficker sorgte für großes Medieninteresse und teilweise wilde Spekulationen. Einige Experten befürchteten nach der massenhaften Verbreitung von Conficker - auch und gerade in Firmen-Netzwerken - schon den Zusammenbruch des Internets. Andere gingen zumindest von der Schaffung eines riesigen Botnets aus, das im Anschluss für Chaos sorgen würde. Nichts von dem traf ein: zwar verbreitet sich Conficker nach wie vor, er verhielt sich jedoch weitestgehend ruhig.

Womöglich ist das der Grund dafür, dass Benutzer und Administratoren offenbar nicht genug unternehmen, um sich vor dem Wurm zu schützen. Über ein Jahr nach Bekanntwerden des Problems soll noch immer jeder 40. im Internet befindliche Rechner infiziert sein. Sage und schreibe einer von zehn Windows-Computern verfügt nicht über die Patches, die die von Conficker ausgenutzten Sicherheitslücken beheben. Das besagte Sicherheitsupdate mit der Bezeichnung MS08-067 wurde bereits im Oktober 2008 von Microsoft verteilt, kurz bevor Conficker - auch unter Downadup, Kido und anderen Namen bekannt - seinen Siegeszug begann. Zu seinen besten Zeiten soll das Conficker-Botnet rund 12 Millionen Rechner umfasst haben. Auch heute gehen Experten noch von vier bis sieben Millionen infizierter PCs aus.

Die Tatsache, dass offenbar nach wie vor viele Benutzer das über ein Jahr alte Update, das sie vor Conficker schützen würde, nicht installiert haben, kommt für Microsoft-Experten nicht überraschend. Sie sagen, dass im Durchschnitt 7-8% der Benutzer auf die Installation eines Updates verzichten. 10% seien also keine allzu außergewöhnliche Quote. Schon kurz nach Veröffentlichung von MS08-067 habe sich gezeigt, dass Benutzer keine besondere Eile gehabt hätten, das Update zu installieren, obwohl dieses sogar außer der Reihe und nicht erst zum nächsten Patch-Day veröffentlicht worden war.

Derweil bleibt Conficker nach wie vor eine, wenn auch derzeit schlafende, Bedrohung. Zwar ist es unwahrscheinlich, dass es jetzt noch zu einer Aktivierung des Botnets für destruktive Zwecke kommen wird - rein technisch wäre dies aber möglich. Vor diesem Hintergrund wirkt es wenig verantwortungsbewusst, auf den einfach verfügbaren Schutz des Sicherheits-Updates zu verzichten.

Quelle : www.gulli.com