Zaiendo Wir sind die Community


Neueste Ankündigungen:
Zaiendo.de ist auf FaceBook und Youtube.

Witz des Tages:
Übern Berg ist es kürzer als wenn Du läufst.

Teilen auf:
Twitter Facebook Stumble Upon Delicious Google

Themabewertung:
  • 1 Bewertung(en) - 5 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Conficker Virus - aktuell sollen bis zu 10 mio PC's betroffen sein!
#1
(27.11.2008, 11:13)heise.de schrieb:Windows-Wurm nimmt an Fahrt auf

Microsoft beobachtet derzeit die zunehmende Verbreitung eines neuen Windows-Wurms, der die seit mehreren Wochen bekannte Lücke in den RPC-Funktionen des Server-Dienstes ausnutzt, um in Systeme einzudringen. Insbesondere in Firmennetzen soll die derzeit beobachtete Variante Conficker.A an Fahrt zunehmen. Die meisten Meldungen liegen nach Angaben des Microsoft Malware Protection Centers aus den USA vor. Aber auch Kunden aus Europa, Asien und Südamerika seien betroffen. Zudem lägen Microsoft Berichte von mehreren hundert Heimanwendern vor.

Conficker öffnet auf infizierten Systemen einen Port, auf dem ein Webserver-ähnlicher Dienst laufen soll. Von dort kann ein System eine Kopie des Wurms nachladen, nachdem es initial infiziert wurde. Interessanterweise spielt der Wurm auf infizierten System den Patch zum Schließen der Sicherheitslücke ein, was aber weniger aus Freundlichkeit geschieht, sondern eher zum Ziel hat, andere RPC-Würmer draußen zu halten. Zusätzlich fragt Conficker diverse Webseiten ab, um die nach außen erscheinende IP-Adresse sowie die aktuelle Zeit zu ermitteln. Anhand der Zeit generiert der Wurm laut Symantec eine Liste von Domains, mit denen er Kontakt aufnimmt, um weiteren Code nachzuladen.

Schutz vor Conficker bietet weiterhin die Installation des Sicherheits-Updates von Microsoft sowie eine aktive Firewall, wobei die seit Windows XP integrierte und seit SP2 standardmäßig aktive Firewall in der Regel vollkommen ausreicht. Anwender sollten sicherheitshalber aber die Einstellungen überprüfen und sicherstellen, dass nicht ungewollt Ausnahmen definiert sind, die doch den Zugriff auf Dienste erlauben, die für die RPC-Lücke anfällig sind – etwa die Datei- und Druckfreigabe.

der beitrag auf heise ist zwar schon n bissl älter, aber zeigt das problem leicht verständlich auf - vorallem wichtig, wenn man sich noch nicht mit dem virus beschäftigt hat.

die aktuelle, kürzlich von mir in der plauderecke erwähnte meldung auf computerbase.de vom 28.03. erwähnt neben ein paar aktuelleren infos, dass der virus sich weiterentwickelt hat & am ersten april höchstwahrscheinlich neue codes nachladen wird - ob dann eine neue virenwelle ausbrechen wird, wie meist angenommen, stellt diese meldung auf heise.de vom 30.03. aber in frage. sie erklärt auch recht anschaulich, warum dieser virus so schwierig in den griff zu bekommen ist - zb registriert er weltweit eigenmächtig 50.000 domains täglich, von denen er neue schadcodes herunterladen könnte.
hochinteressant ist diese meldung von heise.de von heute nacht - zwei informatiker der bonner universität haben den wurm analysiert & es wird ausführlich beschrieben, wie er funktioniert.

zu guter letzt noch die wikipedia-seite & eine auflistung, welche dateien, der wurm verändert & erstellt.
greets
mr.tommi
Antworten
#2
Das sind wirklich ausführliche Infos dazu, vielen Dank!
ich frage mich was morgen passieren wird- bei 10 Millionen PCs am 1. April mit einer Fernsteuerung?

Bei mir laufen die aktuellen Virensysteme und meine Comodo-Firewall, kann ich nur jedem ans Herz legen.

Passt auf eure Rechner auf Wink
[Bild: zaiendosig.php]
Antworten
#3
Das wird mit Sicherheit ein ziemlich schlechter Aprilscherz, aber wohl der Größte jemals.

Die Virusbeschreibung auf Avira.de ist nebenbei auch ganz informativ und vorallem kann man so gleich testen ob man den Wurm vielleicht im System hat, denn der Zugriff zu Avira wird vom Wurm unterbunden.
Auch ganz interessant ist die Passwortliste die der Wurm an Bord hat, solltet ihr eines eurer Passwörter darin finden würde ich euch dringend empfehlen das Passwort zu ändern.
Alle Rechtschreibfehler sind gewollt und dienen der allgemeinen Belustigung.
[Bild: sysp-94196.gif]
Antworten
#4
achja, den punkt hatte ich noch vergessen - viele namhafte security-unternehmen bieten inzwischen removal-tools an - der bericht auf heise.de mit links zu den tools. wobei man aufpassen muss: es soll einige 'trittbrettfahrer' geben, die jetzt bei dem hype um conficker tools anbieten, die entweder wirkungslos sind & gekauft werden sollen oder gar selber schädlinge enthalten (heise.de). daher unbedingt auf tool von bekannten firmen setzen, was einem ja eigendlich auch der gesunde menschenverstand schon sagt... Wink
die beiden im ersten post erwähnten bonner informatiker, die den conficker analysierten, haben auch einen scanner geschrieben, der den wurm aufspüren soll (heise.de).
mein avast brachte gestern auch die meldung, dass es fit für den 1. april sei.
greets
mr.tommi
Antworten
#5
Ich hoffe, unser Schulnetz wird nicht infiziert... (das mit dem Virus vor einiger Zeit war keine Absicht von mir...). Aber woher wissen die denn von dieser Viruswelle genau am 1. April? (Ach ja, Lennart, dein Schuh ist offen! Big Grin )
Шенн ду дас лесен каннст, бист ду кеин думмер Шесси. 
Antworten
Werbeagentur gesucht? PRinguin, die Digitalagentur. Für Web Entwicklung und Online Marketing.
Registriere dich (kostenlos) um diese Werbung zu verbergen.
#6
(01.04.2009, 11:56)Vivienne schrieb: (Ach ja, Lennart, dein Schuh ist offen! Big Grin )

Netter Aprilscherz Wink

Gibt es denn schon erste Neuigkeiten was nun passiert ist / passieren soll?
[Bild: zaiendosig.php]
Antworten
#7
so wie es aussieht, passiert erst mal nix auffälliges. heise.de hatte mit der vermutung wohl doch recht, dass der conficker heute einfach nur neue codes nachlädt, die aber nichts nach aussen auffälliges bewirken. habe ein paar seiten & foren abgeklappert - keiner hat was auffälliges bemerkt.
ok, einer meinte im cb-forum schrieb:AW: Neue Conficker-Angriffswelle am 1. April

hmm ,
irgentwie bin ich heute müder als sonst und der Kaffee schmeckt auch anderes...
aber sonst ist alles im grünen bereich^^
Wink
greets
mr.tommi
Antworten
#8
Ich hatte, wie sich nach einem Scan herausstellte, auch den Conficker drauf.
Die meisten Löschtools werden von ihm einfach beendet, so hat man keine Chance ihn zu löschen. Erst mit dem Programm von F-Secure hab ich es geschafft. Allerdings musste ich auch das umbenennen um es starten zu können.


Hier mal ne kleine Anleitung wie man Conficker/Downadup/Kido löscht bzw erst herausfindet ob der PC infiziert ist:

1. Simple Conficker Scanner runterladen (gibt es vorkompiliert hier)

2. Entpacken und Kommandozeile starten. (WIN + R, "cmd" eintippen und Enter drücken)

3. Zum SCS Ordner navigieren

4. Wenn man im SCS Ordner ist "scanner xxxxxxxx" (xxxxxxxx durch die interne IP ersetzen) eintippen und Enter drücken

5. Wenn SCS fertig ist wird entweder angezeigt: "No resp." oder "WARNING". "No resp." bedeutet, dass der PC auf den Port den Conficker nutzt nicht antwortet, damit ist er nicht infiziert. Sollte man ein "WARNING" bekommen, nun die Anleitung weiterbefolgen

6. F-Secure Downadup remover runterladen (es empfiehlt sich das erste von oben)

7. Das Programm entpacken und auch dieses mal in der Kommandozeile zum Ordner navigieren.

8. Nun kann man probieren das Programm per "f-downadup.exe" unter Enter zu starten. Wenn es Probleme beim ausführen gibt blockiert Conficker das Tool, also muss es umbenannt werden, z.B. in "einprogramm.exe".

9. Jetzt kann das programm gestartet werden ("denmistdenmaneingegebenhat.exe" und Enter drücken)

10. Es werden einige Ordner gescannt und dann das Gesamte System. Wenn etwas gefunden wird, wird das Programm Alarm schlagen und versuchen den Conficker zu löschen. (Es kann sein, dass das System neugestartet wird)



Jetzt müsste das System wieder sauber sein. Als Test kann man Stinger von McAffee runterladen und nochmal das System durchsuchen. (Wenn er direkt beim starten beendet wird, ist Conficker noch drauf)
Vielleicht nocheinmal einen Scan mit SCS machen.

Noch etwas: Wenn es Probleme gibt, bzw der Conficker nicht gelöscht wurde kann man noch Versuchen das F-Secure Tool im "disinfection mode" zu starten. (Es muss in der Kommandozeile "meintoolname.exe --disinfect" eingegeben werden)

Vielleicht hilft es ja jemandem Big Grin
I'm sorry, Dave. I'm afraid I can't do that.
Antworten
#9
Mein System ist laut dem Scanner clean Wink
[Bild: zaiendosig.php]
Antworten
#10
Zum Glück ist zu 90% XP betroffen. Jetzt fühle ich mich das erste Mal mit Vista sicherer Tongue
Antworten
Werbeagentur gesucht? PRinguin, die Digitalagentur. Für Web Entwicklung und Online Marketing.
Registriere dich (kostenlos) um diese Werbung zu verbergen.


Verlinke dieses Thema:

Teile es auf:
Twitter Facebook Stumble Upon Delicious Google GMail LinkedIn



Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste