Trotz Patch: Wurm Conficker.A auf dem Vormarsch

[Dynamite]

Bereits seit Mitte Oktober verbreitet Microsoft über die automatische Update-Funktion von Windows einen Sicherheits-Patch, der eine Windows-Sicherheits-Lücke stopft. Da viele Benutzer das Sicherheits-Update trotzdem noch nicht installiert haben, verbreitet sich der Wurm Win32/Conficker.A alias Downadup weiterhin rasant.

Der Fernsehsender CNN berichtet, dass die Zahl der infizierten Rechner innerhalb weniger Tage von 2,5 Millionen auf acht Millionen anstieg, Sicherheits-Unternehmen befürchten sogar bis zu zehn Millionen befallene Computer. Bisher hat der Wurm noch keinen nennenswerten Schaden angerichtet, Experten vermuten aber, dass er zu einem bestimmten Zeitpunkt wie eine Zeitbombe aktiv werden könnte.

Die Schwachstelle im RPC-Dienst von Windows, die Conficker.A nutzt, ähnelt der, über die sich Mitte 2003 der Wurm W32.Blaster (auch W32.Lovsan und MSBlast) verbreitete. Blaster hatte damals innerhalb von wenigen Tage weltweit über eine halbe Million Rechner infiziert.

CHIP Online meint:
Wenn Sie sich nicht sicher sind, ob Ihr PC bereits den Sicherheits-Patch installiert hat, können Sie ihn auch direkt bei uns herunterladen. Außerdem hilft bei Conficker.A sogar eine simple Firewall als rudimentärer Schutz. Sie verhindert zwar nicht die Infizierung des Systems, unterbindet aber den Kontakt des Wurms zu seinem Kontrollserver und macht ihn dadurch handlungsunfähig. (cel)

Download: Windows-Tool zum Entfernen bösartiger Software

Quelle: Chip.de

[Dynamite]

Conficker: Wurm legt französische Marine lahm

Der Internet-Wurm "Conficker" hat Teile der französischen Marine lahmgelegt. Nach Angaben von Militärs mussten Bereiche des "Intramar"-Netzwerkes abgeschaltet werden, um eine weitere Verbreitung des Wurms zu verhindern. Es kam zu Einschränkungen im E-Mail-Verkehr und Internet-Browsing. Während der Downtime des Netzwerks wurde die Kommunikation mit Telefon und Fax aufrecht erhalten, teilte ein Marine-Sprecher mit.

Berichten zufolge wurde der Wurm unbeabsichtigt durch ein infiziertes USB-Laufwerk in das Marine-Netzwerk eingeschleust. Conficker vermehrt sich, indem er sich auf Flash-Speicher oder Digitalkameras kopiert und sich dann auf alle angeschlossenen PCs über ein Netzwerk verteilt.

Die Wurminfektion wurde laut Militärangaben am 12. Januar entdeckt, fast drei Monate nachdem Microsoft einen Patch für die bekannte Sicherheitslücke in seinen Betriebssystemen veröffentlicht hatte, die Conficker ausnützt. Allerdings war und ist die französische Marine nicht das einzige Opfer des Wurms: Die Schadsoftware hatte zuvor auch bereits untergeordnete Systeme des britischen Militärs befallen. Sicherheitsexperten gehen von weltweit bis zu 10 Millionen infizierten Rechnern aus. (mgb)

Quelle: Chip.de

[Dynamite]

Conficker: Kopfgeld auf Wurm-Programmierer

Der auch unter der Bezeichnung "Downadup" bekannte Computer-Wurm "Conficker" ist für Microsoft mittlerweile weit mehr als nur ein kleines Ärgernis. Deshalb hat der Konzern jetzt eine Belohnung für die Ergreifung des Programmierers ausgesetzt.

Für "Hinweise, die zur Verhaftung und Verurteilung derjenigen, die für die illegale Verbreitung des Conficker Schad-Codes im Internet verantwortlich sind" bietet der Konzern Informanten eine Prämie in Höhe von 250.000 US-Dollar (rund 194.000 Euro). Microsoft ergreift diesen Schritt, da alle eigenen Versuche, den oder die Programmierer aufzuspüren, erfolglos blieben.

Mittlerweile hat sich Conficker.A weltweit auf über zehn Millionen Rechner verbreitet und ein Ende ist trotz längst gepatchter Sicherheits-Lücke nicht abzusehen. Bisher richtete der Wurm zwar noch keinen Schaden an, Experten befürchten jedoch eine "zweite Welle" in der der Schädling aus seiner aktuellen Passivität erweckt wird. Bisher kommunizieren infizierte Rechner täglich mit so genannten Kontroll-Servern des Wurms, von denen sie Befehle erhalten können. Das ist bislang noch nicht geschehen, doch ein Einsatz aller zehn Millionen Systeme beispielsweise als Spam-Netzwerk könnte bedeutende Auswirkungen auf das weltweite Aufkommen an unerwünschten Werbemails haben.
(cel)

nachzulesen bei Screwjob.de

[Dynamite]

Conficker: Wurm befällt Bundeswehr-Rechner

Die Reihe der skurrilen Meldungen rund um den Computer-Wurm Conficker.A reißt nicht ab. Nun hat die Deutsche Bundeswehr gemeldet, dass mehrere hundert Armee-Rechner dem Schädling zum Opfer gefallen sind.

Laut einem Bundeswehr-Sprecher wurden einzelne Dienststellen vom Bundeswehr-Netzwerk getrennt, um eine weitere Verbreitung des Wurms zu verhindern. Inzwischen hätten Spezialisten die Arbeit aufgenommen und "Maßnahmen zur Entfernung der Schadsoftware und Wiederherstellung der vollen Funktionsfähigkeit der Computersysteme der Bundeswehr eingeleitet".

Vor der Bundeswehr hatten auch die französische Marine und die britische Armee schon mit Conficker.A ihre Probleme.

CHIP Online meint:
Es ist unverständlich, wie sensible Systeme so mangelhaft gewartet werden können. Bereits seit Oktober 20008 verbreitet Microsoft einen Patch für die betroffene Windows-Schwachstelle über das automatische Update-System. Warum ausgerechnet die Bundeswehr allerdings auf diese grundlegende Funktion der Computer-Sicherheit verzichtet, wird wohl für immer ein Geheimnis der Truppe bleiben. (cel)

Quelle: Chip.de

[Dynamite]

Der Conficker-Wurm wird flexibler

Die Autoren des Windows-Wurms Conficker entwickeln ihr Machwerk offenbar stetig weiter. Forscher des SRI International haben bei ihren Analysen festgestellt, dass die aktuellen Varianten Conficker B und B++ deutlich flexibler sind, was das Nachladen von Erweiterungen und neuen Versionen angeht.

Die erste Version des Wurms kontaktierte dazu Webseiten, deren Domain er nach einem leicht vorhersagbaren Verfahren ausgewürfelt hat. Microsoft und ICANN versuchten daraufhin, diese Domains unter ihre Kontrolle zu bringen beziehungsweise zu sperren. Die nachfolgende Version B verwendete ein anderes Verfahren, die Domains für seine Kontaktversuche zu ermitteln. Außerdem verzichtet sie auf den sogenannten "Selbstmordschalter", der bei Version A in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.

Das neueste Machwerk schlielßlich, Conficker B++, kann nicht nur DLLs nachladen, sondern beliebige, komplette Programme; es erweitert damit den Spielraum für weitere Aktivitäten der Botnetz-Betreiber. Und außer der Nachladefunktion enthält diese Version auch noch eine Hintertür, über die man von von außen aktiv Zusatzmodule oder neue Versionen einschleusen kann.

Die Forscher haben mittlerweile rund 10 Millionen IP-Adressen mit Conficker-Aktivitäten gezählt; davon über 6 Millionen mit Conficker B. Dies spiegelt jedoch nicht die Zahl der infizierten Systeme wieder. Diese dürfte nach Schätzungen von SRI International um rund eine Großenordnung niedriger, also eher im Bereich einer bis weniger Millionen Systeme liegen. Interessant ist auch die länderspezifische Auswertung: Dort führt China mit rund 2,7 Millionen IPs, und Deutschland liegt mit 195,923 infizierten Adressen noch knapp vor den USA.

Quelle: Heise.de

[Dynamite]

Conficker-Wurm stört legitime Domains im März

Der Conficker-Wurm wird im März mindestens vier legitime Domains stören, heißt es in einem Bericht des Antivirus-Herstellers Sophos. Zwar bestehen die Domain-Namen, die der Schädling nutzt, um für neue Befehle nach Hause zu telefonieren, gewissermaßen aus einer zufälligen Buchstabenkombination und sind daher größtenteils ungenutzt. Doch am 8. März lautet die Zeichenkombination zufällig jogli.com – die Domain einer Musiksuchmaschine.

Am 13. März werden die Conficker-Drohnen die Southwest-Airlines-Website wnsux.com mit Anfragen überhäufen. qhflh.com, die Domain eines Frauennetzwerkes der chinesischen Provinz Qinghai, ist am 18. März an der Reihe und die praat.org, deren Inhalt sich mit algorithmischer Audio-Analyse beschäftigt, wird am 31. März zur Wurmhochburg. Den Domains droht durch die unnützen Netzwerkverbindungen der Millionen infizierten Systeme für rund einen Tag der Totalausfall. Laut Sophos sollen auch andere weniger frequentierte legitime Domains auf dem Weg des Wurms liegen.

Der AV-Hersteller schlägt vor, dass die betroffenen Sites ihre Domain für den Tag im DNS-System stillegen oder die HTTP-Anfrage http://<domainname>/search?q=<N> herausfiltern sollen. Die erste Option erfordert, dass der Betreiber eine Ausweich-Domain parat hat. Southwest-Airlines-Besucher können beispielsweise vorübergehend den alternativen Domain-Namen southwest.com verwenden. Die zweite Option dürfte nur in Frage kommen, wenn die angefragte Such-URL nicht verwendet wird.

Microsoft, ICANN und andere an der Conficker-Blockierung beteiligten Firmen – auch bekannt als das Conficker-Kabal – registrieren vorab die Domains, die der Schädling künftig sein Zuhause nennen wird. Der Algorithmus, nach dem der Wurm die Zeichenfolgen generiert, ist inzwischen bekannt. In diesem Zusammenhang weist Sophos darauf hin, dass einige der Domains bereits registriert seien und zum Verkauf stünden. Die Liste der zu blockenden Domains ist daher unvollständig, da sie vergebene Domains aus rechtlichen Gründen nicht enthalten darf.

Quelle: Heise.de

[Dynamite]

Conficker-Wurm rüstet auf

Der Conficker-Wurm rüstet nach Angaben von Symantec auf – und er erhöht die Schlagzahl. Hat er bislang nur bis zu 250 Domains täglich zum Befehlsempfang und zum Nachladen von neuem Code kontaktiert, soll er nach seinem letzten Update einen Algorithmus verwenden, der 50.000 Domains pro Tag berechnet. Zudem nutzt er nun laut Bericht zusätzlich 116 Domain-Suffixes.

Damit dürfte es für die Antivirenspezialisten, die ICANN und auch etwa OpenDNS schwieriger werden, die vom Wurm aufgerufenen Domains zu blockieren. Zudem stört Conficker damit vermutlich noch mehr legitime Domains als bisher. Zwar bestehen die Domain-Namen aus einer zufälligen Buchstabenkombination und sind daher größtenteils ungenutzt, allerdings werden ältere Conficker-Drohnen beispielsweise die Southwest-Airlines-Website wnsux.com am 13. März mit Anfragen überhäufen.

Darüber hinaus beginnt der aktualisierte Wurm, sich aktiv gegen Antiviren-Software und Sicherheitsanalyse-Tools zur Wehr zu setzen, indem er bestimmte Prozesse auf dem PC terminiert. Dazu gehören unter anderem Prozesse, die die Zeichenketten wireshark, unlocker, tcpview, avenger, autoruns, gmer, procexpl, downad oder confick enthalten. Symantec vermutet, dass die Virenautoren nun weniger auf die Weiterverbeitung des Wurms setzen, sondern alles daransetzen, gekaperte Maschinen so lange wie möglich unter Kontrolle zu halten.

Die Zahl der infizierten PCs variiert je nach Quelle zwischen mehreren hundertausend und mehreren Millionen. Microsoft hatte Mitte Februar eine Belohnung von 250.000 Dollar für Hinweise ausgesetzt, die zur Verhaftung und Bestrafung der Conficker-Verbreiter führen. Bislang scheint dies aber noch nicht von Erfolg gekrönt gewesen zu sein.

Fraglich ist, ob und wann die Botherder den Conficker-Bots eine konkrete Aufgabe zuweisen, etwa den Versand von Spam-Mails, Angriffe auf andere Systeme oder den Aufbau eines Fast-Flux-Netzes. Außer sich weiterzuverbreiten, Kontakt mit Domains aufzunehmen und Admins aus einigen Servern auszusperren, hat der Wurm bislang (glücklicherweise) noch keine Funktionen für gezielte Schäden aufzuweisen. Dennoch hat er aber allein durch die vielen Infektionen beispielsweise bei der Bundeswehr einiges an Schäden angerichtet.

Quelle: Heise.de

[Dynamite]

Conficker: Wurm-Update für infizierte Rechner

Der Conficker-Wurm ist in einer dritten Variante im Internet aufgetaucht. Allerdings stellt "Conficker.c" eine Besonderheit dar, da er ausschließlich als Update für bereits infizierte Rechner fungiert. Die neue Version der Schadsoftware, welche von den Sicherheits-Experten von Symantec ausgemacht wurde, soll deutlich resistenter gegen Schutzprogramme sein und auch nun auf mehr Domains nach neuen Anweisungen der Kriminellen suchen.

Waren es bisher rund 250 Internet-Seiten, auf denen die Entwickler neue Befehle für den Wurm hinterlegt hatten, werden nun über 50.000 Adressen gescannt. Außerdem beendet der Schädling laut den Angaben von Symantec nun auch Prozesse, die möglicherweise Programmen zur Malware-Bekämpfung zuzuordnen sind.

Damit liegt der Fokus der neuen Conficker-Variante auf einer Sicherung bereits gekaperter Rechner, so die Experten weiter. Bis zu 10 Millionen Computer sind Schätzungen nach von der Software befallen. (mgb)

Quelle: Chip.de

[Dynamite]

Conficker: Wird der Wurm am 1. April aktiv?

Der berüchtigte Wurm Conficker beziehungsweise Downadup enthält Code-Zeilen, die darauf hindeuten, dass er sein wahres Schadens-Potential am 1. April entfalten wird.

Zu diesem Termin wird der Wurm nämlich versuchen, sich mit Kontroll-Servern zu verbinden und so neue Befehle zu erhalten. Obwohl dies mittlerweile bekannt ist, lässt sich diese Kontakt-Aufnahme kaum verhindern: Conficker wird ab dem ersten April pro Tag 50.000 nach einem speziellen Algorithmus generierte Domain-Namen "anfunken". Sollte eine dieser Domains von den Wurm-Programmierern registriert werden, könnten dort die neuen Befehle hinterlegt werden. Durch diese extrem hohe Anzahl an Domains ist es finanziell und logistisch kaum möglich, alle potentiellen Domains vorab zu registrieren.

Mit welchen Befehlen der Wurm neu programmiert werden könnte ist bislang nicht absehbar. Aber obwohl massive Schäden denkbar sind, zeigen frühere Schädlinge, dass auf bestimmte Daten terminierte Aktionen oftmals weitaus weniger schlimm als erwartet verlaufen.

Dennoch sollten Sie unbedingt als Vorsichtsmaßnahme die von Conficker ausgenutzte Windows Sicherheits-Lücke schließen und bereits infizierte Rechner wieder von dem Wurm befreien. (cel)

Quelle: Chip.de

[Tobt]

Das wird immer schlimmer...weiß man denn wer dahinter steckt

[Dynamite]

Conficker entmystifiziert

Felix Leder und Tillmann Werner von der Universität Bonn stellen heute die Ergebnisse ihrer Analyse des Conficker-Wurms vor. Sie beschreiben nicht nur in einem Paper aus der Reihe "Know your Enemy" die Funktionsweise des Wurms sondern sie präsentieren auch eine Reihe von Tools, mit denen man vor dem Wurm immunisieren oder ihn aufspüren und auch sauber entfernen kann. Und schließlich haben sie auch ein Problem entdeckt, über das man anscheinend Conficker sogar direkt angreifen könnte.

Sollte es noch eines Beweises bedurft haben, dass Conficker kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Conficker selbst tut, dann dekodiert er den darin enthaltenen Shellcode. Der versucht typischerweise den eigentlichen Wurmcode nachzuladen; die dafür verwendete URL extrahiert Conficker aus dem Shellcode und lädt das Wurm-Programm dann selber.

Doch damit nicht genug. Conficker testet sehr genau, ob es sich um eine aktuellere Version seiner selbst handelt. Er erwartet dazu eine digitale Signatur, die mit einem geheimen RSA-Schlüssel des Wurm-Autors erstellt sein muss. Es ist quasi aussichtslos, Conficker auf diesem Weg etwas unter zu schieben; die Entwickler haben für den Wurm einen dezentralen Auto-Update-Mechanismus implementiert, den die Forscher für praktisch unknackbar halten.

Der Scanner durchsucht jeden Prozess nach den charakteristischen RSA-Schlüsseln. Vergrößern Trotzdem lassen sich die Ergebnisse von Leder und Werner gezielt gegen den Wurm einsetzen. Indem sie im Hauptspeicher nach den eindeutigen RSA-Keys zum Überprüfen der digitalen Signaturen suchen, können sie die Threads des Wurms gezielt aufspüren und beenden. Außerdem haben sie die eingesetzten Algorithmen für Pseudozufallszahlen und deren jeweilige Initialisierungsparameter erforscht und nachgebaut. So stellen sie Tools bereit, mit denen man die pseudozufällig ermittelten Domainnamen errechnen kann, zu denen Conficker zu einem bestimmten Zeitpunkt Kontakt aufnimmt. Auch die Dateinamen und Registry-Einträge lassen sich mit einem Tool nachbauen. Des weiteren haben sie ein Programm geschrieben, das im System bestimmte Mutexe setzen kann, bei deren Vorhandensein Conficker glaubt, das System sei bereits infiziert und deshalb keine Infektion durchführt. Bereits gestern präsentierten die beiden einen Scanner, der Conficker übers Netz an den Rückgabewerten bestimmter Funktionsaufrufe erkennt.

Und schließlich haben die Honeynet-Experten dann doch noch eine Schwachstelle in Conficker entdeckt. Die Details dazu wollen sie allerdings in Absprache mit der Conficker Working Group vorläufig nicht veröffentlichen. Im veröffentlichten Paper heißt es nur noch ominös, dass die Originalversion ein Problem beschrieben habe, das sich "ausnutzen" lasse. Auf Nachfragen von heise Security, ob auf diesem Weg eventuell eine Reinigung übers Netz möglich sei, verwiesen die beiden auf eine Absprache mit der Conficker Working Group, die ihnen in dieser Angelegenheit jeden Kommentar untersagt.

Damals beim Sturmwurm haben die die Forscher aus rechtlichen und moralischen Erwägungen darauf verzichtet, selbst aktiv gegen die infizierten Zombies vorzugehen. Allerdings war das Sturmwurmnetz zu diesem Zeitpunkt auch bereits recht dezimiert und keine echte Bedrohung mehr. Anders präsentiert sich die Situation bei Conficker: Hier spricht man derzeit von mehreren Millionen infizierter Rechner und die internationale Security-Industrie hat sich zur Conficker Working Group zusammengeschlossen, um gegen den Wurm vorzugehen. Die hat bereits Tausende von Domains registriert, um ein Update von Conficker.A/B auf Version C zu verhindern und eine Prämie von 250.000 US-Dollar auf Hinweise zur Ergreifung der Hintermänner ausgesetzt. Man darf gespannt sein, ob sie jetzt auch Maßnahmen zur gezielten Ausschaltung des Wurms in Betracht ziehen.

Quelle: Heise.de

[Dynamite]

Trittbrettfahrer missbrauchen Angst vor Conficker

Die Angst vor Conficker hat nach Berichten mehrerer Antivirenhersteller nun erste Trittbrettfahrer auf den Plan gerufen. Diese versuchen vermeintliche Entfernungs-Tools für Conficker unter die Leute zu bringen. Laut F-Secure stößt man unter anderem bei der Google-Suche nach Conficker-Removal-Tools Recht schnell auf solche dubiosen Angebote, die viel versprechen und wenig halten – oder den PC erst recht mit einem Schädling infizieren.

Die Trittbrettfahrer stammen in der Regel aus dem Dunstkreis der Scareware-Hersteller, also Herstellern von Programmen, die den Anwender mit Hiobsbotschaften über den Zustand des PCs zum Kauf von funktionsloser Antivirensoftware bewegen wollen.

Die Suche auf Google können sich die Anwender aber sparen und gleich funktionierende und virenfreie Conficker-Removal-Tools kostenlos von den Seite der Antivirenhersteller laden. Unter anderem bieten Sophos, Symantec, F-Secure und Kaspersky und BitDefender derartige Programme an.

Apropos Tools: Nach der Veröffentlichung des Conficker-Scantools von Felix Leder und Tillmann Werner von der Uni Bonn, mit dem sich infizierte Systeme übers Netz aufspüren lassen, haben nun weitere Anbieter nachgezogen. Der Netzwerkscanner nmap unterstützt in der aktuellen Version (4.85BETA5) die Suche nach Conficker-verseuchten Rechnern. Die Zeile nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d ip-adresse soll dann den Test ausführen.

Tenable hat für Nessus ein "Conficker Detection"-Plug-in hinzugefügt. Der Sicherheitsdienstleister Qualys hat im Rahmen seines Online-Dienstes seit kurzem die Suche nach dem Wurm integriert. Der Hersteller nCircle bietet ebenfalls einen Conficker-Scanner für Netze an.

Zum Umgang mit Viren und Würmern und dem Schutz vor den digitalen Schädlingen bringen die Antiviren-Seiten von heise Security ausführliche Informationen.

Quelle: Heise.de

[Dynamite]

Gebündelte Informationen zu Conficker

Ab sofort bietet heise Security eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Web-Seiten, die versuchen, eine Infektion zu diagnostizieren, sowie zu Reinigungs-Tools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.

Microsoft und die Hersteller von Antiviren-Software haben sich in der Conficker Workinggroup zusammengeschlossen. Sie bieten ebenfalls eine zentrale Anlaufstelle unter www.confickerworkinggroup.org mit Informationen zu dem Windows-Wurm und einem Web-Test.

Da der Domainname den Begriff conficker enthält, wird der Zugriff auf www.confickerworkinggroup.org jedoch durch den Schädling blockiert, sodass Betroffene diese Seiten unter Umständen nicht erreichen können. Diese Information wurde Anfang März publiziert; Microsoft dokumentiert es in seiner Conficker-Analyse. Die Domain "confickerworkinggroup.org" wurde laut whois am 26. März registriert.

Quelle: Heise.de

[Dynamite]

Conficker-Wurm lädt jetzt doch nach

Nach Angaben von Trend Micro hat der Wurm Conficker.C (respektive Downad) jetzt doch begonnen, Updates nachzuladen – allerdings nicht über die von vielen beobachteten Webseiten, sondern über seine Peer-to-Peer-Funktion. Darauf gestoßen waren die Experten durch die Beobachtung des Windows-Temp-Ordners und des Netzwerkverkehrs eines infizierten Systems. Anders als Conficker.A und .B kann Version .C mit anderen infizierten Systemen ein P2P-Netz etablieren und so weitere Programme nachladen und Befehle entgegennehmen. Laut Trend Micro ist der P2P-Betrieb jetzt in vollem Gange.

In diesem Fall holte sich das untersuchte System sein verschlüsseltes Update von einem P2P-Node in Korea und installierte es. Damit verwandelt sich der Wurm laut Trend Micro in die E-Variante, die neue Eigenschaften aufweist. Unter anderem versucht sie auf einem System alle Spuren zu verwischen, in dem sie etwa bisherige Registry-Einträge löscht und fortan mit zufälligen Dateinamen und Dienstnamen arbeitet. Zudem öffnet der Wurm nun den Port 5114 und lauscht mit einem eingebauten HTTP-Server auf Verbindungsanfragen. Zusätzlich nimmt er Verbindungen mit den Domains myspace.com, msn.com, ebay.com, cnn.com und aol.com auf, um zu testen, ob eine Verbindung ins Internet besteht.

Der Wurm soll sich nur noch über die Windows-Sicherheitslücke verbreiten. Nach Angaben von BitDefender blockiert die neue Variante nicht nur den Zugang zu den Web-Seiten der Antivirus-Hersteller, sondern auch den Zugriff auf kürzlich angekündigte Web-Seiten mit Removal-Tools, welche die vorherigen Versionen des Conficker-Wurms beseitigen konnten. Davon betroffen ist laut BitDefender schon die Tool-Seite von BitDefender (Remove Downadup - Removal tool for Downadup (known also as Conficker or Kido)) sowie Internetseiten anderer Anbieter.

Laut den Analysen soll sich Downad/Conficker in der neuesten Fassung aber am 3. Mai 2009 deaktivieren. Ob er bis dahin ein neues Update zieht, ist unklar. Zudem haben die Virenspezialisten vereinzelte Verbindungen zu Domains beobachtet, die in Verbindung mit dem Botnet Waledac stehen. Auch Symantec hat ähnliche Beobachtungen gemacht. Eine vom Conficker heruntergeladene Datei (484528750.exe) soll den Bot Waledac enthalten haben. Bislang wollen sich aber weder Trend Micro noch Symantec näher zu der Verbindung von Conficker und Waledac äußern.

heise Security bietet eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Tests, die eine Infektion diagnostizieren können, darunter auch eine neue heise-Security-Seite mit einem noch weiter vereinfachten Test. Zudem finden Sie dort Links zu Reinigungstools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.

Quelle: Heise.de

[Dynamite]

Deckt der Conficker-Wurm jetzt seine Karten auf?

Es wurde spekuliert, gewartet und durchgeschnauft: Bislang beschränkte sich der äußerst intelligent programmierte Conficker-Wurm vor allem auf Selbstschutzmaßnahmen, etwa indem er unterschiedliche Kommunikationswege öffnet (Conficker.C kann Peer-to-Peer-Netze mit anderen infizierten Systemen aufbauen), um sich mit nachgeladenem Code selbst zu modifizieren, oder indem er sich aktiv gegen Antiviren-Software und Sicherheitsanalyse-Tools zur Wehr setzt. Selbst am 1. April, der Tag, von dem man wusste, dass Conficker.C nach Updates suchen würde, passierte so gut wie nichts. Jetzt aber kommt erstmals Geld ins Spiel: Auf Rechner, die mit dem Conficker-Wurm infiziert sind, wird das Programm "SpywareProtect2009" geladen, eine sogenannte Scareware.

Mit Scareware-Produkten wie "Antivirus 2009", "Malwarecore", "WinDefender", "WinSpywareProtect", "XPDefender" oder aber eben "SpywareProtect2009" verdienen Betrüger viel Geld. Zunächst wird dem Anwender ein kleines Programm untergejubelt, das nervige Pop-up-Informationen über eine angebliche Infektion des PCs anzeigt – solange, bis unbedarfte Anwender weichgekocht sind und Geld für dubiose Antiviren-Produkte zahlen, die meist mit Namen aufwarten, von denen man glaubt, sie schon einmal gehört zu haben. Wer Glück hat, ist sein Geld los, dafür aber aus dem Spiel – wer Pech hat, lädt mit der erworbenen Software nun tatsächlich Schädlinge auf den PC, die ihn dann womöglich in einen Bot verwandeln, um darüber Spam zu versenden. Microsoft etwa säuberte Ende vergangenen Jahres über das Malicious Software Removal Tool (MSRT) in kurzer Zeit fast eine Million Windows-PC von Scareware. Weitere Informationen liefert der heise-Security-Artikel Scharlatane und Hochstapler.

Einer Analyse der Kaspersky Labs zufolge tauschen die infizierten Zombies über die Peer-2-Peer-Strukturen neben dem Conficker-Update auch die Adresse von Servern in der Ukraine aus, von denen sie dann "SpywareProtect2009" herunterladen und installieren. Das entdeckt dann natürlich diverse Bedrohungen, deren Entfernung den Anwender 49,95 US-Dollar kosten soll, die man via Visa oder Mastercard entrichten kann. Die Ukraine spielte übrigens bereits früher eine Rolle: Conficker.A enthielt einen sogenannten "Selbstmordschalter", der immer dann in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.

Außerdem berichtet Felix Leder von der Uni Bonn, der gemeinsam mit seinem Kollegen Tillmann Werner von der Universität Bonn zuletzt durch die Entmystifizierung des Conficker-Wurms von sich reden machte, dass die neue Conficker-Variante weitere Domains blockiert. Unter anderem gehört dazu der Server der Uni Bonn mit dem Conficker-Test. Dieser ist deshalb vorläufig umgezogen.

Quelle: Heise.de