Startseite » Allgemein » DataSec meldet: Confiker es wird ernst.

DataSec meldet: Confiker es wird ernst.

Verbreitung

W32/Conficker verbreitet sich über Fileshares, die mit einem schlechten Passwort geschützt sind (oder auf die ein eingeloggter Adminstrator Zugriff hat), kopiert sich auf portable Datenträger (z.B. USB Stick) und nutzt die Windows Lücke MS08-067 aus.

Ist der Wurm auf dem Rechner eingedrungen installiert er sich auf dem System unter einem zufälligen Dateinamen (z.B. C:Windowssystem32zdtnx.g oder C:Windowssystem32kdcktv.dll), trägt sich in die Registry ein und installiert den Patch für die Lücke MS08-067 ein.
Schaden

Nach dem Befall versucht W32/Conficker die externe IP Adresse herauszufiden, sich zu verbreiten und verschiedene Websites zu blocken, die folgen Wörter in der URL enthalten

cert.
sans.
bit9.
vet.
avg.
avp.
ca.
nai.
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Die Variante W32/Conficker-C erstellt Windows-Dienste, deren Namen aus vorhandenen Diensten zusammengestellt wurden, deaktiviert die Sicherheitswarnungen von Windows und Windows Defender, verhindert einen Start im Abgesicherten Modus und löscht alle Systemwiederherstellungs-Punkte.

Am 1. April versucht der Wurm Kontakt zu seiner Entwickler aufzunehmen. Dazu werden pro Tag 50.000 Domainnamen in 110 Toppleveldomains (z.B. .de .com) generiert, was eine Blockierung all dieser Doamins schwer macht.
Abhilfe

Einen Befall merken Sie in der Regel durch auffälliges Verhalten Ihrer Windows Rechner. Wollen Sie auf Nummer sicher gehen, können Sie ein Netzwerk Analyse Tool laufen lassen

Die Sophos On Access Engine erkennt den Virus.
Der Virus wird bei Sophos unter folgenden Namen geführt: Mal/Conficker-(A-F), WORM_DOWNAD.AD,W32/Conficker.worm,Worm:Win32/Conficker.gen!A,Worm:W32/Downadup,Net-Worm.Win32.Kido

Haben Sie eine Sonicwall PRO / TZ /NSA im Einsatz und den AntiSpyware Service im Einsatz ist die Gefahr einer Kontakaufnahme des Wurms mit dem Entwickler minimiert. Sonciwall erkennt den Wurm und blockiert, bei richtiger Konfiguration die Verbindungsversuch

Name des Wurms bei Sonicwall: W32.Conficker

Posted by on 1. April 2009. Filed under Allgemein,Information & TK. You can follow any responses to this entry through the RSS 2.0. You can leave a response or trackback to this entry

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.


Blogverzeichnis - Blog Verzeichnis bloggerei.de Blog Top Liste - by TopBlogs.de Blogverzeichnis