Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: Angst vor dem 3. Mai

Conficker-Wurm mutiert zur Version E

Redaktion / 13 Antworten / Flachansicht Nickles

Weltweit sind Millionen Rechner mit dem Conficker-Wurm verseucht. Und niemand weiß bislang, welchen Plan die Entwickler des Wurms verfolgen, welchem Zweck Conficker dienen soll. Viren-Experten können den Wurm lediglich auf versuchten Rechnern beobachten und spekulieren.

Jetzt meldet TrendLabs in seinem Malware Blog, dass der Conficker-Wurm in der Version "C" jetzt anscheinend aktiv wird. Es wurde entdeckt, dass sich Conficker momentan über sein eigenes P2P-Netzwerk aktualisiert. Durch das Update mutiert der Wurm in der "C"-Variante zur neuen als "E" getauften Version (auch WORM_DOWNAD.E genannt).

Grausam für die Wurm-Beobachter: sie können nur zugucken und erkennen, dass was passiert aber nicht rausfinden welchem Zweck es wirklich dient: Conficker's Selbst-Updates sind verschlüsselt. Conficker-E kümmert sich vor allem um eine bessere Tarnung um schwerer im System erkannt zu werden. Der Wurm verwischt im System sämtliche seiner Spuren und arbeitet zudem jetzt mit zufällig generierten und sich ändernden Dateinamen.

Zudem blockiert er weitere Webseiten, die Antiviren-Software oder spezielle Conficker-Entfernungs-Tools anbieten. Zudem konnte beobachtet werden, dass Conficker sich mit diesen Webseiten verbindet: myspace.com, msn.com, ebay.com, cnn.com und aol.com. Die Anti-Viren-Experten gehen jetzt davon aus, das Conficker am 3. Mai 2009 loslegen wird. Zuletzt wurde spekuliert, dass der Wurm sein Unwesen am 1. April startet.

bei Antwort benachrichtigen
Jenau so wirds sein. Alpha13
Synthetic_codes jueki „ Wäre es nicht. Ich weiß zwar nicht wie - aber eine ganze Reihe von Vorgängen...“
Optionen

gut dann gibt es aber noch mechanismen, um zb den Systemzeitgeber hardwareseitig zu beschleunigen. Immerhin läuft der Systemzeitgeber auf (afaik) Int18h, udn dieser interrupt wird vom Prozessor genau 18.2x / sekunde ausgelöst. jetzt könnte man den Interrupt softwareseitig aufrufen lassen. Dazu eine 2. Maschine, die genau so manipuliert ist, auf der ein NTP-Server läuft und eine Deep Packet Inspection Firewall, die alle NTP-Protokollpakete auf diesen 2. rechner umleitet, was conficker als Zeit-validierung die Rechnerzeit bestätigt.

Btw... Dieser zurückdrehmechanismus ist recht einfach: Wenn du beim Start des programms das Programmstartdatum protokollierst und einen start verhinderst, falls das programm aus seiner eigenen sicht einmal in der zukunft gestartet wurde. vordrehen sollte hingegen unproblematisch sein. Im übrigen basieren auch Loader zum umgehen der TimeManipulationProof Software darauf, dass sie die uhrzeit des Systems vor dem start immer auf einen fest-Definierten Zeitpunkt stellen, das programm ausführen und anschliessend nach dem start die uhrzeit zurückdrehen.

habe damals selbst so einen loader geschrieben für ein 3D Modeling Programm für Half-Live(1). funzte wunderbar.

'); DROP TABLE users;--
bei Antwort benachrichtigen
Laut dieses Link: ... Prosseco