Conficker.E: Aufgewacht und »Ready to Rock!«
Donnerstag, 09 April 2009 14:42 von Manfred Kohlen
Nun ist es also da, das lange erwartete Update zum noch länger unterschätzten Superschädling. Und es könnte sogar von denselben Leuten stammen, die das fatale Stormbot-Netz in die Welt gesetzt hatten, meinen Security-Spezialisten.
Die neue Conficker-Variante ist seit gestern Abend da und verteilt sich recht fleißig über das vom Vorgänger selbst aufgebaute P2P-Netz. Das SANS-Institut hat sogar den massiv erhöhten Traffic über die vermeintlichen Update-Ports des Wurms veröffentlicht. Kurz darauf fand TrendMicro heraus: die Ports sind immer anders und werden per Zufallsgenerator erzeugt. SANS entfernte die Grafiken wieder.
Der superschlaue Fiesling ist also auf dem Weg, noch aktuellere Updates (und Updates der Updates) seiner selbst in Windeseile zu verbreiten und vermehren. Die für den 1. April erwartete Welle von neu verschlüsseltem Schadcode traf dann zwar doch nicht ein – doch jetzt vermehren sich die unangenehmen Würmchen umso ungehinderter.
Vervielfältigungsmechanismus ist derzeit das vom ersten und zweiten Conficker aufgebaute P2P-Netz. Was die neuen Schadcodes in Conficker.E oder Downad.E so in sich haben, ist noch nicht bekannt.
Dass er auch mit Servern kommuniziert, die bereits maßgeblich am Stormbot-Netz beteiligt waren und mit neuen Versionen des damals verantwortlichen Wurms Waledac »spricht«, führt TrendMicro-Mitarbeiter Rik Ferguson zu der Annahme, es handele sich wohl um ein und dieselbe Gang von Cyberkriminellen.
Selbst die Conficker Working Group ist derzeit nicht erreichbar. Wurde sie angegriffen oder haben sie Mitarbeiter von betreiber Microsoft einfach abgeschaltet?
Wer schon alles in kürzester Zeit, auch mitten in der Nacht, darüber berichtet hat und wo es mehr Informationen gibt, hat PC Professionell schon zusammengetragen. Weil alle sehr schnell reagiert haben, bleibt wohl nur eine Vermutung: Alle haben mächtig Angst vor dem, was passieren kann! Zu Risiken und Nebenwirkungen befragen Sie bitte ihren nächsten Virenscanner oder Intrusion-Detection-Spezialisten! µ
TrendMicro-Meldung
TrendMicro-Analyse
Conficker Working Group
Kommentare
Für eine kurze Zeit habe ich so was wie Mitleid empfunden. Das war aber wirklich nur ein ganz kleiner Augenblick :)
“Zu Risiken und Nebenwirkungen befragen Sie bitte ihren nächsten Virenscanner oder Intrusion-Detection-Spezialisten”
Nana wo bleibt denn da die Gleichberechtigung. Es gibt auch weibliche Spezialisten und Virenscanner :D
Jetzt aber nichts böses gegen den Schädling äußern sonst ist der heißgeliebte INQ das erste Opfer und wird vom Netz genommen.
Der Virus bekommt ja mittlerweile mehr Updates als Windof… und das KOSTENLOS.
Fehlt nurnoch, dass der Quellcode Open-Source wird und jeder mitprogrammieren darf ROFL
illegale Kopien sind auch erlaubt und werden trotzdem mit Updates versorgt :D
Sehe ich das richtig, der Inquirer feiert die Kriminellen noch ? kein Wunder das man hier Trollburg zu der Seite sagt.
@Skunk:
“raubkopierter Virus” … Das is so übel dass das schon wieder genial ist. xD
@Anonymous: Ist immer noch besser als bei heise, denn im Unterschied zum heise-Forum haben die Trolle hier noch Niveau. ;)
Vielleicht hätte der Autor des Artikels seine Begeisterung für die kriminellen Machenschaften dieser Vollidioten nicht ganz so unverhohlen ausleben sollen…
@x
Dieser Wurm wird jeden Windows Nutzer überleben. Weil er sich einfach schneller Anpassen kann. :)
@Linux-User: lach nicht zu früh und nicht allzu schadenfroh. Die infizierten Windows-User sind es, die deine (und meine) Bandbreite mit ihren infizierten Kisten wegnuckeln und generell die Infrastrukturen gefährden.
@x
Hast du etwa Angst? Was hast du für ein Problem mit der News. Ich find sie informativ und ein wenig lustig. Hätte vieleicht noch ein bischen mehr sein können. Gefeiert wird hier niemand. Es wird sich nur über das Thema lustig gemacht.
Ich find das ganze Thema sowieso witzig. Mein PC ist nicht infiziert und wird es wohl auch nicht. Wenn mein Nachbar zu blöd ist seinen PC zu schützen, dann kann ich daran sowieso nichts ändern. Alles was mir also bleibt ist das ganze aus der Ferne zu beobachten.
@Peek
Obwohl ich Windows verwende, muss ich dir zustimmen. Die dummen Windows Anwender, die noch nicht mal merken, dass sie infiziert wurden, werden bestimmt noch für die eine oder andere Überaschung sorgen, die dann auch mich betreffen wird.
Ob der Patchday bei dem Wurm wohl der Dienstag ist?
[...] befragen Sie bitte ihren n
Wenn es nicht ein Wurm wäre, würde ich sagen “coole Software”. Allerdings bin ich Linuxuser, daher kann ich die Sache gelassen beobachten – auch cool.
das schreit ja geradezu SKYNET
Conficker scheint mir nur ein Mythos zu sein. Hat irgend jemand schon das Ding auf dem Rechner gehabt? Ein Wurm, der schon ziemlich alt ist, und der trotzdem noch nichts gemacht hat, außer ausgeklügelte Updatemechanismen, die nicht funktionieren können, wenn man mal drüber nachdenkt.
Die Leute die nicht merken das ihre Kiste infiziert ist werden auch unter Linux nicht merken das jemand die vor 100 Wochen entdeckte Lücke ausnutzt für die es erst seit 99 Wochen ein Fix gibt.
Wer unter Windows keine Sicherheitsupdates einspielt wird auch unter Linux keine einspielen. (Dort eher noch unwahrscheinlicher da Linux “sicher” ist)
Ich finde es nur zu lustig, wie sich die Linux User schon wieder in Sicherheit wiegen. Kriminelle wie diese werden auf den wachsenden Anteil der Linux-Systeme sicherlich in Zukunft nicht verzichten wollen. Von daher rechne ich gerade bei diesem Wurm mit einer Linux-Variante.
Kommentar hinzufügen