Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties

Beveiligingsexperts weten nog niet wat de worm Conficker voor besmette computers in petto heeft, maar hebben wel een vingerafdruk van de malware gevonden en een tool ontwikkeld die de malware snel op afstand kan detecteren.

Conficker is een worm die sinds zijn eerste verschijning, in oktober 2008, een enorm aantal besmettingen op zijn naam heeft staan. Onduidelijk is wat de worm voor schade aan gaat richten: er zijn alleen aanwijzingen dat de malware op 1 april zal ontwaken. Conficker gebruikt een scala aan geavanceerde technieken die het systeembeheerders en beveiligingsexperts moeilijk maken inzage te krijgen in onder andere de verspreidingswijze.

Ook de detectie was lastig tot nu toe: alleen het scannen van individuele machines bracht een infectie aan het licht, waarmee beheerders van grote aantallen systemen niet blij waren. Onderzoekers van het Honeynet Project hebben nu in samenwerking met beveiligingsexpert Dan Kaminsky een nieuwe tool ontwikkeld op basis van een doorbraak bij de detectie. "Conficker verandert eigenlijk hoe Windows er uit ziet op het netwerk en deze verandering kan op afstand, anoniem en heel, heel snel gedetecteerd worden", beschrijft Kaminsky.

Hij wist afgelopen vrijdag samen met Tillmann Werner en Felix Leder van het Honeynet Project de vingerafdruk te vinden op basis van data die de deelnemers aan het project beschikbaar stelden. Sindsdien zijn de drie druk bezig geweest met het ontwikkelen van een tool, die inmiddels is uitgebracht en wordt geïntegreerd in netwerkgereedschap als Nmap. Hierdoor kunnen systeembeheerders snel ontdekken of systemen binnen een netwerk geïnfecteerd zijn.

Eindgebruikers kunnen de worm met de meeste gangbare antivirussoftware detecteren en te lijf gaan. Een van de symptomen van besmetting zou het niet kunnen bezoeken van sites als Windows Update of de sites van makers van beveiligingssoftware zijn.

Moderatie-faq Wijzig weergave

Reacties (65)

F-secure heeft een interessante Q&A over conficker/downadup.

[Reactie gewijzigd door tetraplan op 30 maart 2009 20:38]

Leuke weblog :D Voor mensen die niet alles begrijpen van virussen zoals deze krijgen het hier in Jip&Janneke-taal uitgelegd :)
Er is 1 groot ding dat ik niet snap: dat virus zit knap in elkaar, met zware encrypties, P2P-updates, etc. maar waarom maakt het maar gebruik van 1 enkel lek in Windows?
Virussen die meerdere lekken gebruiken zijn helemaal niet zeldzaam en aangetoond zeer successvol. Waarom laat iemand die zo'n complex virus maakt, zo'n grote steek vallen?

Dit virus leent zich gewoon perfect voor bijvoorbeeld Microsoft om het belang van een geldige licentie/updates aan te tonen, of wetgevers om encryptie te verbieden.
En dan eigenlijk vooral voor wetgevers die een wetgeving willen doordrukken.

Het is simpel uit te schakelen met 1 patch en wacht tot een bepaalde datum zodat er een flink media-offencief gestart kan worden nog voordat het virus echt actief kan worden.
Het virus is aan de ene kant (met name de communicatie/distributie) zo geniaal dat het de experts maar niet lukt het te bestrijden, maar aan de andere kant (hack-mogelijkheden) lijkt het een eerste probeerseltje van een scriptkid.

(of zou dit virus op 1 april blijken te beschikken over nog meer hacks?)
Encryptie verbieden vanwege een virus zou dom zijn. Wel iets wat politici zouden kunnen doen, maar dom.

Dat vuurwapens verboden zijn, voorkomt nog steeds niet dat criminelen ze hebben. Encryptie verbieden betekent dat de burger niet meer veilig is, maar de internetcrimineel trekt zich daar geen seconde wat van aan.
En daarom heb je even een ramp/dreiging nodig om in de paniek/ophef die dat veroorzaakt, je domme dingen door te kunnen drukken.
Interessante gedachtegang, je zegt dus eigelijk dat "bepaalde mensen" baat hebben bij dit virus om wetgeving er doorheen te drukken?
Ja. En dat zonder "terrorisme" te gebruiken, want de kracht van dat woordje begint op zijn retour te raken ;)

Ik zie al hele reeksen wetsvoorstellen voor me die encryptie verbieden, software-downloads verbieden, p2p-netwerken verbieden, toezicht op computers te verplichten, providers verplichten in te grijpen in bepaald netwerkverkeer, etc.
Een ramp is altijd handig om dingen door te drukken, of dat nu de titanic of 9/11 is.

Maar toegegeven: dat virussen gemaakt zouden worden door de antivirusbedrijven is ook een flinke complot-theorie }>
als mensen 1 lek laten zitten, denk je dan dat ze bewust al de andere gaan dichten?
De meeste pc's zijn up-to-date, of zijn het gewoon helemaal niet...
Wat ik niet snap waarom ze niet weten wat het precies doet, gezien de tijd dat het al bestaat. Ze kunnen toch in een gecontroleerde omgeving kijken hoe en wat het virus doet? Ik snap dat het virus met zware encryptie z'n code kan verbergen en daarmee wat het precies doet/gaat doen, maar ze denken dat het op 1 april actief wordt. Dan zet je toch de datum van een machine op 1 april voor een dag en kijk wat er eventueel de hele dag op die 1april datum gebeurd? Tevens netwerk bekijken welke, watvoor en waarheen het verkeer wil. Zelfs als het virus op een gecontroleerde server de datum of commando afwacht kan je dat toch achterhalen door het bekijken wan het netwerk verkeer? Ok, ik weet wel dat hun hierin veel slimmer zijn dan mij, maar dat het dan blijkbaar toch nog zo moeilijk kan zijn en zolang kan duren vind ik wat vreemd als je kijk hoe snel sommige andere dingen gekraakt zijn....
Dat zeg je wel heel simpel. Het virus zoekt contact met allerlei servers, die servers zullen op een gegeven moment een signaal gaan geven dat er wat moet gaan gebeuren. Wat dat signaal is wat nog niemand, dus valt er ook niet te triggeren wat er gaat gebeuren als dat signaal wordt gegeven. En voor hetzelfde weet het virus zelf ook nog niet wat het gaat doen, maar wordt die code op het moment zelf binnen gehaald.
Conficker verandert eigenlijk hoe Windows er uit ziet op het netwerk en deze verandering kan op afstand, anoniem en heel, heel snel gedetecteerd worden

Dus ze proberen nu niet zozeer de verandering zelf te detecteren maar of er een verandering is en misschien hoe die tot stand komt?
Het is best mogelijk dat men eigenlijk massaal pakketjes gaat sniffen. Omdat men inmiddels een patroon heeft gevonden in de manier waarop een geÔnfecteerde machine zich op het netwerk gedraagt, kan men zo achterhalen welke machines op het netwerk geÔnfecteerd zijn.
nmap maakt dŗt mogelijk, maar ook bijvoorbeeld het detecteren van "open" poorten en finger oefeningetjes. Zo zou het bijvoorbeeld kunnen dat conficker op een bepaalde manier reageert op een bepaalde poort oid. Dat maakt het relatief eenvoudig om snel te scannen.
Gezien de geavanceerdheid van de rest van het virus, ga ik er eigenlijk vanuit dat het niet zal gaan om 1 poort en/of 1 reactie, maar een combinatie van gedragingen die een machine verdacht maken.
Wordt dit virus nou wel of niet door een virusscanner zoals AVG ontdekt?
Dit wordt meestal door de meeste virusscanners gedetecteerd maar soms vergeet men wel is te updaten en dan is het TE laat...

Ik heb er zelf ook is last van gehad en ik kon de Windows update niet meer bereiken, geen enkele updatesite meer (McAfee, spybot S&D, lavasoft,...) niets werkte meer, dan via een anti-spywareprogramma dit verwijderd door eerst te downloaden via andere computer en dan te gebruiken...
(o.a. op norton is er zo een programma te vinden)

Dus al bij al is het te detecteren ALS men op tijd heeft geŁpdatet...
Een soort spookje in een doosje. Ik vraag me toch wel af wat er gaat gebeuren.
Doet me denken aan een verhaal van Freek de Jonge. Dat eindigt met het leger (olv Ed Nijpels) dat het doosje open komt maken omdat er van alles in zou kunnen zitten. Op dat moment bleek het natuurlijk leeg, terwijl het tot dat moment alles kon bevatten.

Het sprookje blijft dus alleen intact als we het doosje dicht laten ;-)
Ze proberen een verandering t.o.v. het normale te vinden. Ziet Windows op het netwerk er opeens anders uit dan is het besmet.
Vraag is natuurlijk wel ten opzichte van wat de verandering moet worden gemeten aangezien dit virus al redelijk lang op internet rondwaart (oktober 2008). en ieder netwerk (want daar zijn de meeste problemen mee) is weer anders.....
Je kan toch zelf een virtuele 100% veilige opstelling bouwen. Vervolgens netwerk traffiek analyseren van de steriele omgeving. Vervolgens doe je hetzelfde maar met aantal vrijwel zeker besmette machines en zoek je verschillen op. Bijvoorbeeld de manier waarop windows op een gesloten tcp poort reageert. Of een of andere RPC procedure.
Moet je nog goed je best doen - veel van de betere virussen nowadays hebben counter-sandbox-procedures, wat wil zeggen dat ze (evt heuristische) detectiemechanismen hanteren om te kijken of ze niet toevallig in een testomgeving draaien (in welk geval ze vervolgens slapend, aka dormant, blijven waardoor ze moeilijk te detecteren zijn).

Dit werkt door bijvoorbeeld te kijken of je op een of ander obscuur ip-adres (zodat de sandboxen van de major AV producten het niet kennen) een bepaald geformatteerd antwoord op een bepaalde TCP verbinding krijgt. Krijg je die als virus dan niet, dan undo je alles wat je tot dan toe geflikt hebt en doe je net of je niet bestaat.

En aangezien dit een van de betere virussen schijnt te zijn...
Dat request naar dat IP adres is nou juist bijzonder meetbaar en bruikbaar voor de opsporing van besmette machines
Ik ben het toch wel eens met Roland, iemand zal vanaf overmorgen baat gaan hebben bij dit virus. Als iemand gewoon zijn computerskills wil uittesten had hij het gewoon op auto-on gezet. Dat er 6 maanden overheen gaan laat toch zien dat er een soort complot bezig is, misschien iets met P2P.
Dat hoeft toch niet? Misschien dat hij, net omdat hij er toch geen verlies bij heeft als het niet lukt, 6 maanden heeft gewacht.
Niets meer dan een 1 april grap. Is toch TE duidelijk dit. Het had elke willekeurige datum van het jaar kunnen zijn maar nu zou het oh zo onstopbare virus precies op 1 april als een duvel uit een doosje komen. Want echt niemand weet precies wat het is en wat het kan.... sure...
Dat virus op 1 april laten lanceren en eventueel ICANN plat leggen zou een geweldige strategie zijn. De meeste mensen gaan denken dat het een 1 april grap is waardoor mensen niet snel gaan handelen. Als ik de wereld zou willen platleggen dan zou ik het doen op 1 april en niet op 4 juli.

‹berhaupt denk ik niet dat het een grap is. Stel dat dit een grap is waar is dan de geloofwaardigheid. Een 1 april grap zou zijn dat het internet is uitgevallen en blablabla. Hier maakt men het al een tijdje op voorhand bekend. Wat jullie eigenlijk zeggen is dat als je overvallen word op 1 april het eigenlijk niet meer is dan een grap.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True