Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Angst vor dem 3. Mai

Conficker-Wurm mutiert zur Version E

Redaktion / 13 Antworten / Baumansicht Nickles

Weltweit sind Millionen Rechner mit dem Conficker-Wurm verseucht. Und niemand weiß bislang, welchen Plan die Entwickler des Wurms verfolgen, welchem Zweck Conficker dienen soll. Viren-Experten können den Wurm lediglich auf versuchten Rechnern beobachten und spekulieren.

Jetzt meldet TrendLabs in seinem Malware Blog, dass der Conficker-Wurm in der Version "C" jetzt anscheinend aktiv wird. Es wurde entdeckt, dass sich Conficker momentan über sein eigenes P2P-Netzwerk aktualisiert. Durch das Update mutiert der Wurm in der "C"-Variante zur neuen als "E" getauften Version (auch WORM_DOWNAD.E genannt).

Grausam für die Wurm-Beobachter: sie können nur zugucken und erkennen, dass was passiert aber nicht rausfinden welchem Zweck es wirklich dient: Conficker's Selbst-Updates sind verschlüsselt. Conficker-E kümmert sich vor allem um eine bessere Tarnung um schwerer im System erkannt zu werden. Der Wurm verwischt im System sämtliche seiner Spuren und arbeitet zudem jetzt mit zufällig generierten und sich ändernden Dateinamen.

Zudem blockiert er weitere Webseiten, die Antiviren-Software oder spezielle Conficker-Entfernungs-Tools anbieten. Zudem konnte beobachtet werden, dass Conficker sich mit diesen Webseiten verbindet: myspace.com, msn.com, ebay.com, cnn.com und aol.com. Die Anti-Viren-Experten gehen jetzt davon aus, das Conficker am 3. Mai 2009 loslegen wird. Zuletzt wurde spekuliert, dass der Wurm sein Unwesen am 1. April startet.

bei Antwort benachrichtigen
Synthetic_codes Redaktion „Conficker-Wurm mutiert zur Version E“
Optionen

öhm hat von denen einfach mal einer probiert die systemuhr vorzustellen?
Wenn das ding Zeitgesteuert agiert unso, wäre das eine möglichkeit solche "vermutungen" zu bestätigen

'); DROP TABLE users;--
bei Antwort benachrichtigen
jueki Synthetic_codes „öhm hat von denen einfach mal einer probiert die systemuhr vorzustellen? Wenn...“
Optionen
...mal einer probiert die systemuhr vorzustellen?...wäre das eine möglichkeit solche "vermutungen" zu bestätigen
Wäre es nicht.
Ich weiß zwar nicht wie - aber eine ganze Reihe von Vorgängen auf dem PC holt sich seine Zeit nicht bei der Systemuhr.
Es wird oft genug und meist erfolglos versucht, mit solcherart Manipulation eine Verlängerung eines Testzeitraumes zu erschwindeln.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
|dukat| jueki „ Wäre es nicht. Ich weiß zwar nicht wie - aber eine ganze Reihe von Vorgängen...“
Optionen

Ich habe da so meine eigenen Theorien.
Scheint als habe jemand hat einen Trojaner zum Aufbau für ein Botnetz geschrieben, und dabei war er richtig gut. So gut, dass das Teil sich in Windeseile verbreitet hat und unter die Beobachtung der Experten gefallen ist. Und genau das dürfte gar nicht beabsichtigt gewesen sein. Denn der Autor wird jetzt international gejagt und kann ohne die Gefahr einer Enttarnung gar nicht mit seinem Botnetz Kontakt aufnehmen. Für den Autor ist das ein Rohrkrepierer. Ziel dürfte ein kleines weiteres unauffälliges Botnetz gewesen sein, mit dem sich leicht Geld verdienen lässt, kein international berüchtigtes Monster. Es wird also gar nichts passieren. Zum Geldverdienen ist das Ding nicht mehr geeignet, folglich wird niemand mehr die Wurmvariante mit irgendwelchen Befehlen füttern. Der Autor ist wahrscheinlich fieberhaft damit beschäftigt seine Spuren zu verwischen.

bei Antwort benachrichtigen
Alpha13 |dukat| „Ich habe da so meine eigenen Theorien. Scheint als habe jemand hat einen...“
Optionen

Jenau so wirds sein.

bei Antwort benachrichtigen
Prosseco Alpha13 „Jenau so wirds sein.“
Optionen

Naja komisch ist es schon dabei. Wird es wieder wie ein Y2K fall oder kann wircklich der ganze Planet nicht mal der Hacker Club, den entschluesseln.

Gibt es kein nerd, der was dagegen tun kann ?

GRINS
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Synthetic_codes jueki „ Wäre es nicht. Ich weiß zwar nicht wie - aber eine ganze Reihe von Vorgängen...“
Optionen

gut dann gibt es aber noch mechanismen, um zb den Systemzeitgeber hardwareseitig zu beschleunigen. Immerhin läuft der Systemzeitgeber auf (afaik) Int18h, udn dieser interrupt wird vom Prozessor genau 18.2x / sekunde ausgelöst. jetzt könnte man den Interrupt softwareseitig aufrufen lassen. Dazu eine 2. Maschine, die genau so manipuliert ist, auf der ein NTP-Server läuft und eine Deep Packet Inspection Firewall, die alle NTP-Protokollpakete auf diesen 2. rechner umleitet, was conficker als Zeit-validierung die Rechnerzeit bestätigt.

Btw... Dieser zurückdrehmechanismus ist recht einfach: Wenn du beim Start des programms das Programmstartdatum protokollierst und einen start verhinderst, falls das programm aus seiner eigenen sicht einmal in der zukunft gestartet wurde. vordrehen sollte hingegen unproblematisch sein. Im übrigen basieren auch Loader zum umgehen der TimeManipulationProof Software darauf, dass sie die uhrzeit des Systems vor dem start immer auf einen fest-Definierten Zeitpunkt stellen, das programm ausführen und anschliessend nach dem start die uhrzeit zurückdrehen.

habe damals selbst so einen loader geschrieben für ein 3D Modeling Programm für Half-Live(1). funzte wunderbar.

'); DROP TABLE users;--
bei Antwort benachrichtigen
groggyman Synthetic_codes „gut dann gibt es aber noch mechanismen, um zb den Systemzeitgeber hardwareseitig...“
Optionen

Hallo Synthetic_codes

Was passiert, wenn du die Zeit auf den 3 Mai heute einstellst, der Wurm ruft nach seiner Datei und die ist dann noch garnicht im Netz zu finden " Fatal Error 404 ? ":-))

Gruß Jürgen

bei Antwort benachrichtigen
Prosseco groggyman „Hallo Synthetic_codes Was passiert, wenn du die Zeit auf den 3 Mai heute...“
Optionen

Tja jetzt kommt die Nachricht. Laut Computerworld hat man rausgefunden was der Conficker.E macht.

Er kassiert Kohle.

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9131380&source=NLT_PM

Die Macher von Conficker, der Wurm wo Millionen von PC infiziert hat. Hat begonnen was alle Botnetz Inhaber machen, Kohle scheffeln. Sicherheits Experten haben heute gesagt, als sie anfingen zu analysieren von die neueste Malware variante.

Conficker.e als es sich aktualiziert hat, um Mitternacht Londoner Zeit hat angefangen sich zu aktualizeren und es installierte sich an schon vorherige infizierte Maschinen. Sagte Kevin Hogan, Direktor von Symantec Corp.
In viele wege, der neue Conficker hat vieles gemeinsam von der Original Version des Wurms wo im November 2008 erschienen ist.
Aus der ersten sicht, es schaute so aus, das es der Conficker.a variante ist.

Kurz gesagt. Neuer Spammer ist unterwegs.

Laut Symantec, Conficker.e downloaded und installiert Waledac, ein Bot das seit Monaten sein unwesen treibt. Waledac ist bekannt als der nachfolger vom Storm Bot von 2008.

"2 Sachen kommen mir zu Gedanken" sagt Hogan, weisst drauf hin zu die Conficker.e - Waledac Connektion. Die Verantwortlichen fuer Waledac koennte die gleiche Gruppe sein, die hinter Conficker ist oder die sind direkt verbunden.
Das ist das erste mal, das Conficker in Zusammenhang steht zu die Spammers.

Kaspersky sagt, das es falsche Sicherheitssoftware installiert, damit an die Kunden Geld abgeschroepft wird fuer die angebliche Software, die Sicherheit bringen soll.

Gruss
Sascha

P.S. Schon heftig. Das man seit November 2008 man erst angeblich jetzt was entdeckt hat. Was wuerde passieren wenn es eine schlimmere Programmierung haette. Wie ein Roten Knopf Druck.

Manchmal denke ich, das alles nur Erfundene Spielereien sind, der Software Industrie, um mehr Geld zu kriegen sowieso. Nur ich will ja den Schwarzen Teufel nicht an der Schwarzen Wand malen.

Oder mich mit ein Seil erschiessen und mit eine Pistole erhaengen.

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Scotty7 Prosseco „Tja jetzt kommt die Nachricht. Laut Computerworld hat man rausgefunden was der...“
Optionen

Wie kann ein Conficker-PC als Bot arbeiten wenn keine ausgehenden Aktivitäten registriert werden?

Zum Beispiel e-Mail spammen, wie soll das gehen wenn außer sehr kurzen verschlüsselten Kommunikationen nix passiert?

gens inculta nimis vehitur crepitante colossa.
bei Antwort benachrichtigen
winnigorny1 Scotty7 „Wie kann ein Conficker-PC als Bot arbeiten wenn keine ausgehenden Aktivitäten...“
Optionen

Jo, gute Frage, Skotty7!

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Crazy Eye Scotty7 „Wie kann ein Conficker-PC als Bot arbeiten wenn keine ausgehenden Aktivitäten...“
Optionen

da steht doch das er ein Programm nachlädt, und das kann wiederum kommunzieren ;)

bei Antwort benachrichtigen
Gerakl Redaktion „Conficker-Wurm mutiert zur Version E“
Optionen

Womöglich wird der Con(nection)ficker am 3 Mai irgendetwas unanständiges tun. :)

bei Antwort benachrichtigen
Prosseco Gerakl „Womöglich wird der Con nection ficker am 3 Mai irgendetwas unanständiges tun. : “
Optionen

Laut dieses Link:

http://www.tgdaily.com/html_tmp/content-view-41990-108.html

TrendMicro sagt, das angeblich Conficker eine neue Datei gebildet hat mit eine groesse von 119,296 bytes in den Windows Temp Folder. Diese Datei ist nicht via HTTP download gekommen, sondern durch eine Encrypted 134,880-byte TCP response von ein bekanntes Conficker Node, wo die Firma glaubt das es irgendwo sich in Korea befindet.

TrendMicro sagt das diese neue Art, hoert auf mit seine Programmierung am 3. Mai 2009. Es benuetzt ein Sicherheitsleck von Microsoft Sicherheit Bulletin MS08-067 um sich zu verbreiten.

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067.mspx

Laut aussage der Firma, der neue Wurm oeffnet den Port 5114 und fungiert als HTTP Server und sendet via SSDP request, danach versucht eine verbindung aufzubauen zu Myspace.com, msn.com, ebay.com, cnn.com and aol.com.

Als eine vorherige Version, es laesst keine Spuren hinter sich und in die Host Maschine. Es fuehrt sein Kommando aus und loescht alle Spuren, sogar Dateien und in die Registry.


Gruesse
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen