Malware-Variante nutzt Microsoft-Schwachstelle MS08-067 und USB-Anschluss zur Verbreitung
Conficker nutzt die Microsoft-Schwachstelle MS08-067. Dabei versucht er, in Netzwerke mit einem schwachen Administrator-Kennwortschutz zu dringen, indem er eine Reihe häufiger Passwörter durchprobiert. Gelingt ihm der Zutritt, verbindet er sich mit der RPC-Schnittstelle (Remote Procedure Call). Darüber hinaus dient auch der USB-Anschluss als Ausgangspunkt einer Infektion.
Ist Conficker in ein System eingedrungen, lädt er neue Varianten, also modifizierten Schadcode, von unterschiedlichen Servern. Dieses Nachladen kann auch darauf hindeuten, dass die Urheber mit den infizierten Computern den Aufbau eines Botnetzes planen. In diesem Fall wäre der momentane Wurm-Befall nur der Beginn eines folgenschweren Flächenangriffs.
Den Anwendern wird empholen, ihr System auf mögliche Schwachstellen zu durchsuchen und mit dem von Microsoft bereitgestellten Patch zu sichern. Auch der Autostart über den USB-Anschluss sollte deaktiviert werden.
Der Conficker-Angriff erinnert Panda zufolge stark an die Szenarien von "Melissa" (ab 1999) und "I love you" (ab 2000), deren explosionsartige Verbreitung binnen kürzester Zeit Schäden in Milliardenhöhe verursachten. Auch Conficker birgt die Gefahr, massenweise Computer zu infizieren und Betriebsabläufe lahm zu legen.
Microsoft:
Microsoft Computerwürmer - Conficker
Windows Live OneCare Online Scanner
Microsoft Malware protection Center
Windows-Tool zum Entfernen bösartiger Software
Security Bulletin MS08-67 (KB958644)
Einfache Tests:
Testseite der Uni Bonn (von Tillman Werner, Felix Leder)
Folgende Symptome könnten auf eine Infektion hinweisen:
Diese Dienste sind deaktiviert oder zeigen einen Fehler beim Starten:
- Windows Security Center Service
- Windows Update Auto Update Service
- Background Intelligence Transfer Service
- Windows Defender
- Error Reporting Service
- Windows Error Reporting Service
Einige Accounts sind gesperrt/disabled durch manipulation an der Registry, dadurch wird das Netzwerk mit Verbindungen überflutet:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"
Es kann keine Verbindung mehr zu folgenden Internetseiten oder Online-Dienste hergestellt werden:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
