Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties

Onderzoekers hebben een nieuw wapen gevonden in de strijd tegen het Conficker-virus. Het blijkt dat de worm is op te sporen door er via het ingebouwde p2p-systeem verbinding mee te zoeken en het verkeer te analyseren.

Onderzoekers van het antivirusbedrijf Symantec hebben samen met Ron Bowes, bekend van de Nmap-netwerkscanner, een nieuwe manier gevonden om de Conficker-worm op te sporen. Vanaf de c-versie beschikt Conficker over een p2p-mogelijkheid, die vermoedelijk is toegevoegd als backup voor de http-aansturing van de malware. Door met de gebruikte netwerkpoorten te communiceren en de resultaten te analyseren kan de worm worden ontdekt. Het is de tweede keer dat een doorbraak in de opsporing van Conficker wordt gemeld.

Bowes heeft voor de p2p-detectie van Conficker een script geschreven dat in Nmap4.85 Beta 8 is ingebouwd. Symantec heeft Bowes geholpen met de analyse van het netwerkverkeer. Conficker.c gebruikt twee tcp- en twee udp-poorten om met andere geïnfecteerde pc's te communiceren. De poortnummers worden gekozen aan de hand van het ip-adres en de systeemtijd. Als naar de bewuste poorten een speciaal geconstrueerd netwerkpakketje wordt verstuurd, kan aan de hand van de reactie worden vastgesteld of een pc is geïnfecteerd, schrijft Bowes op zijn blog. "De manier waarop de schrijver het implementeerde was slim, maar niet baanbrekend", zegt Alfred Huger, hoofd van Symantecs Security Intelligence Analysis Team.

Hoewel de nieuwste beta-versie van Nmap Conficker.c kan opsporen, is het script volgens Bowes in zijn blog niet honderd procent betrouwbaar. Firewalls en poortfilters kunnen de benadering van de Conficker-poorten beletten, nat kan de scan in de war schoppen en als de Windows-poorten 445 en 139 zijn geblokkeerd kan het script niet gedraaid worden. Ook kan de detectiesoftware alleen Conficker.c en nieuwere varianten ontdekken.

Conficker deed enkele dagen na 1 april voor het laatst van zich spreken. Toen zou Conficker volgens onderzoekers overschakelen op een andere communicatiemethode. Dat bleef uit, maar de toenmalige Conficker c-variant werd wel bijgewerkt naar versie 'e', die de Waledac-spambot installeerde. Met het installeren van spambots lijken de hackers te willen cashen; het botnetwerk zou nu aan spammers verhuurd kunnen worden.

Moderatie-faq Wijzig weergave

Reacties (29)

Klinkt goed, hoewel er nog wat haken en ogen aanzitten, is er een goed begin gemaakt naar mijn idee.

Het grootste probleem met dit soort wormen is natuurlijk dat de remidie langer duurt dan het schrijven van een workaround: De maker van deze worm leest dit natuurlijk ook, en zal proberen om zijn/haar worm aan te passen, zodat deze opsporingsmethode niet meer toegepast kan worden. Er verschijnen zoveel nieuwe virussen en andere spy/malware voor windows dat dit een race tegen de klok is.

Maargoed, elk succes is er een, nu maar hopen dat binnenkort deze worm makkelijker op te sporen is, en daarmee ook te verwijderen valt.
meestal schrijven ze pas een bericht op een blog als het daadwerkelijk al goed werkt en er al wat mee gedaan werd, ze gaan dit nooit vroegtijdig publiceren omdat dit nog "gevoelige" informatie is.

ontopic:

Zoals Pixeltje al zei, het is inderdaad een race tegen de klok. De anti-virus bedrijven kunnen nooit anticiperen op een stukje geschreven code dat elke seconde kan gaan uitbreken en duizenden PC's kan besmetten per minuut.
daarom proberen de anti-virusbedrijven zich vooral te richten om naar processen te zoeken die iets aan het doen zijn waarvoor ze normaal niet gebouwd zijn.
anyway, als elke meer backbone zijn traffic controleert, kunnen er al veel dingen vermeden worden imo. als er bvb nog maar 1 miljoen dezelfde mailtjes passeren aan allemaal verschillende adressen, dan lijkt het mij toch duidelijk dat dit spam is.
indien er ook constant pakketjes "on the move" zijn die altijd hetzelfde zijn maar steeds meer en meer voorkomen, kan je dit eigenlijk ook al gaan aanzien als een virus of malware.
indien er ook constant pakketjes "on the move" zijn die altijd hetzelfde zijn maar steeds meer en meer voorkomen, kan je dit eigenlijk ook al gaan aanzien als een virus of malware.
Torrents?
In dit kader is misschien ook dit linkje wel interessant waarin hetr verschil in security van XP naar Vista enigzins duidelijk wordt aan de hand van aangetroffen malware op computers:
http://blogs.pcmag.com/se...n_vista_rare_accordin.php

XP => tussen de 0,65% en 3,36% van de computer besmet met malware
Vista => tussen de 0,26% en 0,37% van de computer besmet met malware
Niet een helemaal eerlijke vergelijking; Vista installaties hebben veel minder tijd gehad om geinfecteerd te raken. Sommige Windows XP installs gaan al 8 jaar mee.
Aan de ander kant geeft het artikel ook al aan dat de verschillen eerder nog veel groter zullen zijn omdat XP machines minder vaak windows update gebruiken dan Vista
I would argue that the real world numbers have an even more pronounced difference. These numbers show only the state of systems that use Windows Update; more aggressive default settings in Vista mean that a far higher percentage of Vista users will be Windows Update users than XP. The non-updating XP users are almost certainly more likely to be infected with something than the updating ones.
Sorry maar bijna iedereen zit achter een firewall, heeft NAT, om over de filtering bij providers nog maar niet te spreken. Het lijkt me niet dat ze op deze manier de omvang van de plaag kunnen bepalen. Hooguit het topje van de ijsberg.

Sowieso denk ik dat het met deze mediaaandacht alleen maar meer een sport wordt voor schrijvers van virussen om nog lastigere wormen te schrijven. Deden ze het eerder om het geld en uit verveling...het begint nu een soort alternatieve online game te worden.
Dat is juist het probleem, in België hebben we een operator op de kabel ( effe geen namen noemen) die aan zijn klanten routers verkoopt waarin de NAT functionaliteit wordt afgezet samen met de firewall, dit grapje kost de klanten evenveel als wat ze voor een deftige router met firewall & nat betalen in de winkel. Dus al die standaard klanten bij hen zitten niet achter een firewall of NAT en zijn dikwijls een gemakkelijk doelwit wegens ontbreken van deftige beveiligingssoftware.

Ontopic: Dit werkt dus tot de volgende update waarbij het algoritme weer wordt veranderd. Het conficker virus bewijst nogmaals dat er serieuze problemen zit in de mentaliteit dat vele mensen het internet gebruiken. Denken dat ze onkwetsbaar zijn. Misschien wordt het tijd dat ISP actiever beginnen te jagen op Bot-pc's en hun klanten hiervan op de hoogte brengen. Dit kan hun en hun klanten veel geld besparen op lange termijn. Maar ja in België doen ze dat niet want dat zit je sneller aan de limiet van je download en kun je bij betalen om nog snel te blijven surfen.
Laat ik even verduidelijken dat ze dan een firewall in software vorm naast dergelijke aankopen proberen aan te smeren om de mensen veilig te doen voelen. Ipv gewoon de router juist voor de WAN te configureren ... 8)7
wel vreemd, alles wordt door iedereen (provider, gebruiker, firewall, nat) geblocked... en toch kan de worm binnenkomen...

uhm wat voor nut heeft het dan om alles te blokkeren?

@lfs je hebt een firewall... dus die kun je toch voor 2 minuten uitzetten, en het argument ja dan is mijn pc kwetsbaar -> (draai alweer bijna een vol jaar zonder firewall antivirus of wat dan ook, scan alleen een keer per maand... gemiddeld 0-5 hits (no virus, potential spy/adware) en als die je niet kunt checken of die bot op je pc draait, is hij nog kwetsbaarder, want je pc is niet langer van jou als die bot erop zit!
... KiLLers, als je nu na je maandelijkse virusscanronde ineens merkt dat je wél een virus hebt? Sla je je dan hard voor je kop en zet je de volgende keer wél een actieve antivirussuite op je pc of ga je gewoon op de oude voet verder?
Hoeveel systemen zijn er op dit moment mee besmet?
Naar schattingen van expert een paar miljoen maar volgens bepaalde security bedrijven misschien wel meer dan 10 miljoen.

Overigens betreft het vrijwel exclusief Windows XP computers.
op Vista komt het nauwelijk voor.

Dit omdat de hoofd infectie methode op Vista niet werkt zonder user toegang op de computer. Alleen secudaire verspreidingmethode binnen een netwerk waarbij met name de gebruikers misleid worden om conficker te activeren of waarbij paswoord guessing wordt gebruikt werken ook op Vista.
@hAl
Kan de url ff niet naar boven halen,maar men schatte 3,5 miljoen.Met dat gegeven verbaasd jouw cijfer van 10 miljoen mij niet.
Webwereld.nl melde op 13 februari het volgende:

"" Microsoft biedt een beloning van 250.000 dollar voor tips om de maker van Conficker/Downadup op te pakken. Die worm heeft miljoenen pc’s besmet.

Het tipgeld wordt betaald aan diegenen die informatie verstrekt die leidt tot de arrestatie en veroordeling van de verantwoordelijken achter Conficker. Microsoft heeft dit al enkele malen eerder gedaan, soms met succes.

De snelheid en professionalisering van de malware-industrie beperkt de impact van arrestaties echter. ""

Dat riekt dus naar: achter de feiten aanlopen.

Maar proficiat voor die Tweaker onder ons die Microsoft ( en alle slachtoffers natuurlijk)) aan de benodigde informatie kan helpen en een kwart miljoen dollar rijker is. _/-\o_
Denk dan ook even aan mij, omdat ik je aanspoorde ..etc etc. O-)

Update: Mijn fout, omdat ik niet het hele artikel las. In het artikel van Webwereld staat nog het volgende:

Conficker heeft tot op heden naar schatting zeker 10 miljoen pc’s besmet. Sommige security-experts spreken zelfs van 15 miljoen besmette computers. De worm waart sinds november rond op Internet. De kwaadaardige code gebruikt een kwetsbaarheid in een Windows Server-service die aanwezig is in nagenoeg alle huidige Windows-versies: Windows 2000, XP, Vista, Server 2003 en Server 2008

Vista dus ook hAl.

Al met al een dikke pil en een leuke aansporing voor mensen met veel tijd om 250 duizend dollar te verdienen.

[Reactie gewijzigd door Trans1963 op 24 april 2009 13:17]

De kwaadaardige code gebruikt een kwetsbaarheid in een Windows Server-service die aanwezig is in nagenoeg alle huidige Windows-versies: Windows 2000, XP, Vista, Server 2003 en Server 2008

Vista dus ook hAl.
De betroffen kwetsbaarheid zit ook in Vista maar is daar niet een critical vuneralbity. Je kunt deze niet exploiteren zonder user toegang tot een bovendien ongepachte Vista computer.

Op XP en W2k3 server zijn ongepatchte computers wel direct vunerable voor deze, op XP wel critical, vunerability.

Dit is de betreffende in oktober 2008 gepatchte vunerability die conficker gebruikt
http://www.microsoft.com/...ty/Bulletin/MS08-067.mspx
On Windows Vista and Windows Server 2008, the vulnerable code path is only accessible to authenticated users. This vulnerability is not liable to be triggered if the attacker is not authenticated.

[Reactie gewijzigd door 80466 op 24 april 2009 13:33]

De code Gebruikt de kwetsbaarheid. dat is wat ik lees.
De conficker code gebruikt dus wel met name die kwestbaarheid om zich te verpreiden maar die werkt alleen tegen ongepatchte XP en W2k3 server installaties en niet op Vista of Wk28
Met dat gegeven verbaasd jouw cijfer van 10 miljoen mij niet.
De belangen van security bedrijven liggen bij een grote bedreiging.
Overdrijven is dan ook schering en inslag in deze business
Jij haalt zelf 10 miljoen aan, had je opmerking over "overdrijven dan meteen gepost , als kanttekening.
En Vista is evengoed de l*l
Maar goed, al zijn het er een miljoen, een dikke pil imho.
En Vista is evengoed de l*l
Er zijn vrijwel geen Vista besmettingen met Conficker. De hoofd infectie methode van conficker dmv een remote vunerability werkt gewoon niet op Vista
Toch wel een hoop uitzonderingen.
Mijn provider blokkeert netbios poorten: detectie werkt niet bij mij.
Ik een heb een firewall: detectie werkt ook niet.
Neemt niet weg dat het een waardevolle tool is om een intranet te scannen.
Ik vind de kop niet juist kan worden bestreden
Ik haal uit de tekst alleen dat het gedetecteerd kan worden.
Detectie is de eerste stap in de bestrijding...
Ik zou wel eens willen weten wie die mensen zijn die zulke misselijke virussen maken of ze willen tracen dan zouden we ze misschien eens een juridisch bezoekje aan huis kunnen bezorgen met een deurwaarder ofzo die de computer komt confisceren dan leren ze het wel af :D

[Reactie gewijzigd door Mietex op 24 april 2009 13:30]

kaspersky heeft ook een removal tool
http://www.kaspersky.nl/n...nficker-downadup-faq.html

is dus maar net wie het bericht naar buitenbrengt
yup, removal tools zijn er al een tijd. Maar detectietools, dat is heel wat anders. Zo wil je als beheerder écht wel weten of er nog ergens een machine geïnfecteerd staat te wezen, zonder élke machine fysiek langs te lopen.
Omdat geïnfecteerde machines klaarblijkelijk niet (volledig) gepatcht en beschermd tegen virussen waren, kan je daarvoor niet uit te gaan van de logs van je "normale" enterprise scanner. Een goeie manier om in één "sweep" alle machines in het netwerk af te lopen is daarom best waardevol ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True