Beveiligingsexperts bereiken doorbraak in bestrijding Conficker

Beveiligingsexperts weten nog niet wat de worm Conficker voor besmette computers in petto heeft, maar hebben wel een vingerafdruk van de malware gevonden en een tool ontwikkeld die de malware snel op afstand kan detecteren.

Conficker is een worm die sinds zijn eerste verschijning, in oktober 2008, een enorm aantal besmettingen op zijn naam heeft staan. Onduidelijk is wat de worm voor schade aan gaat richten: er zijn alleen aanwijzingen dat de malware op 1 april zal ontwaken. Conficker gebruikt een scala aan geavanceerde technieken die het systeembeheerders en beveiligingsexperts moeilijk maken inzage te krijgen in onder andere de verspreidingswijze.

Ook de detectie was lastig tot nu toe: alleen het scannen van individuele machines bracht een infectie aan het licht, waarmee beheerders van grote aantallen systemen niet blij waren. Onderzoekers van het Honeynet Project hebben nu in samenwerking met beveiligingsexpert Dan Kaminsky een nieuwe tool ontwikkeld op basis van een doorbraak bij de detectie. "Conficker verandert eigenlijk hoe Windows er uit ziet op het netwerk en deze verandering kan op afstand, anoniem en heel, heel snel gedetecteerd worden", beschrijft Kaminsky.

Hij wist afgelopen vrijdag samen met Tillmann Werner en Felix Leder van het Honeynet Project de vingerafdruk te vinden op basis van data die de deelnemers aan het project beschikbaar stelden. Sindsdien zijn de drie druk bezig geweest met het ontwikkelen van een tool, die inmiddels is uitgebracht en wordt geïntegreerd in netwerkgereedschap als Nmap. Hierdoor kunnen systeembeheerders snel ontdekken of systemen binnen een netwerk geïnfecteerd zijn.

Eindgebruikers kunnen de worm met de meeste gangbare antivirussoftware detecteren en te lijf gaan. Een van de symptomen van besmetting zou het niet kunnen bezoeken van sites als Windows Update of de sites van makers van beveiligingssoftware zijn.

IT-banen

Reacties (65)

Verwijderd 30 maart 2009 20:35

F-secure heeft een interessante Q&A over conficker/downadup.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:08]

BeF_Aviko @Verwijderd • 31 maart 2009 09:19

Leuke weblog

Voor mensen die niet alles begrijpen van virussen zoals deze krijgen het hier in Jip&Janneke-taal uitgelegd

Roland684 30 maart 2009 19:00

Er is 1 groot ding dat ik niet snap: dat virus zit knap in elkaar, met zware encrypties, P2P-updates, etc. maar waarom maakt het maar gebruik van 1 enkel lek in Windows?
Virussen die meerdere lekken gebruiken zijn helemaal niet zeldzaam en aangetoond zeer successvol. Waarom laat iemand die zo'n complex virus maakt, zo'n grote steek vallen?

Dit virus leent zich gewoon perfect voor bijvoorbeeld Microsoft om het belang van een geldige licentie/updates aan te tonen, of wetgevers om encryptie te verbieden.
En dan eigenlijk vooral voor wetgevers die een wetgeving willen doordrukken.

Het is simpel uit te schakelen met 1 patch en wacht tot een bepaalde datum zodat er een flink media-offencief gestart kan worden nog voordat het virus echt actief kan worden.
Het virus is aan de ene kant (met name de communicatie/distributie) zo geniaal dat het de experts maar niet lukt het te bestrijden, maar aan de andere kant (hack-mogelijkheden) lijkt het een eerste probeerseltje van een scriptkid.

(of zou dit virus op 1 april blijken te beschikken over nog meer hacks?)

Verwijderd @Roland684 • 30 maart 2009 19:34

Encryptie verbieden vanwege een virus zou dom zijn. Wel iets wat politici zouden kunnen doen, maar dom.

Dat vuurwapens verboden zijn, voorkomt nog steeds niet dat criminelen ze hebben. Encryptie verbieden betekent dat de burger niet meer veilig is, maar de internetcrimineel trekt zich daar geen seconde wat van aan.

Roland684 @Verwijderd • 30 maart 2009 19:43

En daarom heb je even een ramp/dreiging nodig om in de paniek/ophef die dat veroorzaakt, je domme dingen door te kunnen drukken.

killingdjef @Roland684 • 30 maart 2009 19:26

Interessante gedachtegang, je zegt dus eigelijk dat "bepaalde mensen" baat hebben bij dit virus om wetgeving er doorheen te drukken?

Roland684 @killingdjef • 30 maart 2009 19:41

Ja. En dat zonder "terrorisme" te gebruiken, want de kracht van dat woordje begint op zijn retour te raken

Ik zie al hele reeksen wetsvoorstellen voor me die encryptie verbieden, software-downloads verbieden, p2p-netwerken verbieden, toezicht op computers te verplichten, providers verplichten in te grijpen in bepaald netwerkverkeer, etc.
Een ramp is altijd handig om dingen door te drukken, of dat nu de titanic of 9/11 is.

Maar toegegeven: dat virussen gemaakt zouden worden door de antivirusbedrijven is ook een flinke complot-theorie

telenut @Roland684 • 30 maart 2009 20:51

als mensen 1 lek laten zitten, denk je dan dat ze bewust al de andere gaan dichten?
De meeste pc's zijn up-to-date, of zijn het gewoon helemaal niet...

Rudie_V 30 maart 2009 20:28

Wat ik niet snap waarom ze niet weten wat het precies doet, gezien de tijd dat het al bestaat. Ze kunnen toch in een gecontroleerde omgeving kijken hoe en wat het virus doet? Ik snap dat het virus met zware encryptie z'n code kan verbergen en daarmee wat het precies doet/gaat doen, maar ze denken dat het op 1 april actief wordt. Dan zet je toch de datum van een machine op 1 april voor een dag en kijk wat er eventueel de hele dag op die 1april datum gebeurd? Tevens netwerk bekijken welke, watvoor en waarheen het verkeer wil. Zelfs als het virus op een gecontroleerde server de datum of commando afwacht kan je dat toch achterhalen door het bekijken wan het netwerk verkeer? Ok, ik weet wel dat hun hierin veel slimmer zijn dan mij, maar dat het dan blijkbaar toch nog zo moeilijk kan zijn en zolang kan duren vind ik wat vreemd als je kijk hoe snel sommige andere dingen gekraakt zijn....

Muthas @Rudie_V • 30 maart 2009 20:57

Dat zeg je wel heel simpel. Het virus zoekt contact met allerlei servers, die servers zullen op een gegeven moment een signaal gaan geven dat er wat moet gaan gebeuren. Wat dat signaal is wat nog niemand, dus valt er ook niet te triggeren wat er gaat gebeuren als dat signaal wordt gegeven. En voor hetzelfde weet het virus zelf ook nog niet wat het gaat doen, maar wordt die code op het moment zelf binnen gehaald.

Kalief 30 maart 2009 18:09

Conficker verandert eigenlijk hoe Windows er uit ziet op het netwerk en deze verandering kan op afstand, anoniem en heel, heel snel gedetecteerd worden

Dus ze proberen nu niet zozeer de verandering zelf te detecteren maar of er een verandering is en misschien hoe die tot stand komt?

the_stickie @Kalief • 30 maart 2009 20:48

Het is best mogelijk dat men eigenlijk massaal pakketjes gaat sniffen. Omdat men inmiddels een patroon heeft gevonden in de manier waarop een geïnfecteerde machine zich op het netwerk gedraagt, kan men zo achterhalen welke machines op het netwerk geïnfecteerd zijn.
nmap maakt dàt mogelijk, maar ook bijvoorbeeld het detecteren van "open" poorten en finger oefeningetjes. Zo zou het bijvoorbeeld kunnen dat conficker op een bepaalde manier reageert op een bepaalde poort oid. Dat maakt het relatief eenvoudig om snel te scannen.
Gezien de geavanceerdheid van de rest van het virus, ga ik er eigenlijk vanuit dat het niet zal gaan om 1 poort en/of 1 reactie, maar een combinatie van gedragingen die een machine verdacht maken.

directjohan 30 maart 2009 18:46

Wordt dit virus nou wel of niet door een virusscanner zoals AVG ontdekt?

thomas1991 @directjohan • 30 maart 2009 18:51

Dit wordt meestal door de meeste virusscanners gedetecteerd maar soms vergeet men wel is te updaten en dan is het TE laat...

Ik heb er zelf ook is last van gehad en ik kon de Windows update niet meer bereiken, geen enkele updatesite meer (McAfee, spybot S&D, lavasoft,...) niets werkte meer, dan via een anti-spywareprogramma dit verwijderd door eerst te downloaden via andere computer en dan te gebruiken...
(o.a. op norton is er zo een programma te vinden)

Dus al bij al is het te detecteren ALS men op tijd heeft geüpdatet...

Bilel 30 maart 2009 18:02

Een soort spookje in een doosje. Ik vraag me toch wel af wat er gaat gebeuren.

Verwijderd @Bilel • 31 maart 2009 14:29

Doet me denken aan een verhaal van Freek de Jonge. Dat eindigt met het leger (olv Ed Nijpels) dat het doosje open komt maken omdat er van alles in zou kunnen zitten. Op dat moment bleek het natuurlijk leeg, terwijl het tot dat moment alles kon bevatten.

Het sprookje blijft dus alleen intact als we het doosje dicht laten ;-)

A4-tje 30 maart 2009 18:35

Ze proberen een verandering t.o.v. het normale te vinden. Ziet Windows op het netwerk er opeens anders uit dan is het besmet.
Vraag is natuurlijk wel ten opzichte van wat de verandering moet worden gemeten aangezien dit virus al redelijk lang op internet rondwaart (oktober 2008). en ieder netwerk (want daar zijn de meeste problemen mee) is weer anders.....

analog_ @A4-tje • 30 maart 2009 18:58

Je kan toch zelf een virtuele 100% veilige opstelling bouwen. Vervolgens netwerk traffiek analyseren van de steriele omgeving. Vervolgens doe je hetzelfde maar met aantal vrijwel zeker besmette machines en zoek je verschillen op. Bijvoorbeeld de manier waarop windows op een gesloten tcp poort reageert. Of een of andere RPC procedure.

Verwijderd @analog_ • 31 maart 2009 09:28

Moet je nog goed je best doen - veel van de betere virussen nowadays hebben counter-sandbox-procedures, wat wil zeggen dat ze (evt heuristische) detectiemechanismen hanteren om te kijken of ze niet toevallig in een testomgeving draaien (in welk geval ze vervolgens slapend, aka dormant, blijven waardoor ze moeilijk te detecteren zijn).

Dit werkt door bijvoorbeeld te kijken of je op een of ander obscuur ip-adres (zodat de sandboxen van de major AV producten het niet kennen) een bepaald geformatteerd antwoord op een bepaalde TCP verbinding krijgt. Krijg je die als virus dan niet, dan undo je alles wat je tot dan toe geflikt hebt en doe je net of je niet bestaat.

En aangezien dit een van de betere virussen schijnt te zijn...

Turiya @Verwijderd • 31 maart 2009 09:42

Dat request naar dat IP adres is nou juist bijzonder meetbaar en bruikbaar voor de opsporing van besmette machines

Bilel 30 maart 2009 20:00

Ik ben het toch wel eens met Roland, iemand zal vanaf overmorgen baat gaan hebben bij dit virus. Als iemand gewoon zijn computerskills wil uittesten had hij het gewoon op auto-on gezet. Dat er 6 maanden overheen gaan laat toch zien dat er een soort complot bezig is, misschien iets met P2P.

Goderic @Bilel • 30 maart 2009 20:32

Dat hoeft toch niet? Misschien dat hij, net omdat hij er toch geen verlies bij heeft als het niet lukt, 6 maanden heeft gewacht.

Voois 30 maart 2009 20:33

Niets meer dan een 1 april grap. Is toch TE duidelijk dit. Het had elke willekeurige datum van het jaar kunnen zijn maar nu zou het oh zo onstopbare virus precies op 1 april als een duvel uit een doosje komen. Want echt niemand weet precies wat het is en wat het kan.... sure...

Verwijderd 30 maart 2009 22:24

Dat virus op 1 april laten lanceren en eventueel ICANN plat leggen zou een geweldige strategie zijn. De meeste mensen gaan denken dat het een 1 april grap is waardoor mensen niet snel gaan handelen. Als ik de wereld zou willen platleggen dan zou ik het doen op 1 april en niet op 4 juli.

Überhaupt denk ik niet dat het een grap is. Stel dat dit een grap is waar is dan de geloofwaardigheid. Een 1 april grap zou zijn dat het internet is uitgevallen en blablabla. Hier maakt men het al een tijdje op voorhand bekend. Wat jullie eigenlijk zeggen is dat als je overvallen word op 1 april het eigenlijk niet meer is dan een grap.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: