BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

16Apr/090

Conficker – FastFlux <--> MIT ?

+++++++++++ NEWS ++++++++++
Das Conficker Netz ist doch größer ist als man annahm.
Es sind Institute davon betroffen, die "wahrscheinlich" 🙂 davon keine Ahnung haben.
Unbestätigte Quellen zeigen auf, dass das MIT (Massachusetts Institute of Technology) teil des FastFlux Netzes ist.
Der Conficker nutzt genau dieses FastFlux Netz um zu kommunizieren und sich zu verbreiten.
Weitere Informationen folgen.

++++++++++++++++++++++++++

14Apr/090

Heise Meldung: Conficker-Wurm lädt jetzt doch nach

Nach Angaben von Trend Micro hat der Wurm Conficker.C (respektive Downad) jetzt doch begonnen, Updates nachzuladen – allerdings nicht über die von vielen beobachteten Webseiten, sondern über seine Peer-to-Peer-Funktion. Darauf gestoßen waren die Experten durch die Beobachtung des Windows-Temp-Ordners und des Netzwerkverkehrs eines infizierten Systems. Anders als Conficker.A und .B kann Version .C mit anderen infizierten Systemen ein P2P-Netz etablieren und so weitere Programme nachladen und Befehle entgegennehmen. Laut Trend Micro ist der P2P-Betrieb jetzt in vollem Gange.

In diesem Fall holte sich das untersuchte System sein verschlüsseltes Update von einem P2P-Node in Korea und installierte es. Damit verwandelt sich der Wurm laut Trend Micro in die E-Variante, die neue Eigenschaften aufweist. Unter anderem versucht sie auf einem System alle Spuren zu verwischen, in dem sie etwa bisherige Registry-Einträge löscht und fortan mit zufälligen Dateinamen und Dienstnamen arbeitet. Zudem öffnet der Wurm nun den Port 5114 und lauscht mit einem eingebauten HTTP-Server auf Verbindungsanfragen. Zusätzlich nimmt er Verbindungen mit den Domains myspace.com, msn.com, ebay.com, cnn.com und aol.com auf, um zu testen, ob eine Verbindung ins Internet besteht.

Der Wurm soll sich nur noch über die Windows-Sicherheitslücke verbreiten. Nach Angaben von BitDefender blockiert die neue Variante nicht nur den Zugang zu den Web-Seiten der Antivirus-Hersteller, sondern auch den Zugriff auf kürzlich angekündigte Web-Seiten mit Removal-Tools, welche die vorherigen Versionen des Conficker-Wurms beseitigen konnten. Davon betroffen ist laut BitDefender schon die Tool-Seite von BitDefender (http://bdtools.net) sowie Internetseiten anderer Anbieter.

Laut den Analysen soll sich Downad/Conficker in der neuesten Fassung aber am 3. Mai 2009 deaktivieren. Ob er bis dahin ein neues Update zieht, ist unklar. Zudem haben die Virenspezialisten vereinzelte Verbindungen zu Domains beobachtet, die in Verbindung mit dem Botnet Waledac stehen. Auch Symantec hat ähnliche Beobachtungen gemacht. Eine vom Conficker heruntergeladene Datei (484528750.exe) soll den Bot Waledac enthalten haben. Bislang wollen sich aber weder Trend Micro noch Symantec näher zu der Verbindung von Conficker und Waledac äußern.

heise Security bietet eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Tests, die eine Infektion diagnostizieren können, darunter auch eine neue heise-Security-Seite mit einem noch weiter vereinfachten Test. Zudem finden Sie dort Links zu Reinigungstools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.
(c) Heise.de

31Mrz/092

Aprilscherz – Conficker Virus

Der Conficker-Wurm wird am/ab 1. April aus täglich 50.000 möglichen Domain-Namen mit etwa 500 Kontakt aufnehmen und an die befallenen Hosts Details liefert, wie sich das gigantische Botnetz dann verhalten soll

Ich wollte zuerst auch darüber schreiben, doch ich habe es gelassen. Mal sollte nicht unnötig Panik verbreiten.
Die Welt ist auch schon, laut einigen Prognosen 100mal untergegangen.
Daher hole ich mir jetzt einen Kaffee und schaue dem Aprilscherz gelassen entgegen.

Mehr Infos hier: http://freeware.blog.de/2009/03/27/news-conficker-virus-april-scherz-5844839/

/* google like button API */