Start Empfohlen Conficker, Downadup, Kido: Ein Stinktier mit einem anderen Namen

Conficker, Downadup, Kido: Ein Stinktier mit einem anderen Namen

36
0


Die Schwachstelle, die den neuen Wurm Downadup (oder Conficker oder Kido oder was auch immer) aktiviert hat, wurde im Oktober letzten Jahres gepatcht. Da jetzt jedoch mindestens 9 Millionen Computer, die nicht gepatcht wurden, infiziert sind, müssen Sie Folgendes wissen.

Fenster in allen Formen und Größen. Der Wurm zielt auf sie alle ab: Win95, Win98, Windows Me, NT, XP und Vista sowie Windows 2000, Windows Server 2003 und Windows Server 2008. Oh, und Windows 7 Pre-Beta.

Bis ins Herz des Systems. Die Schwachstelle wurde, wie bereits erwähnt, bereits im Oktober gepatcht, als eine private Einheit sie Microsoft enthüllte (nach angeblich einigen früheren Einsätzen gegen die Lücke durch eine oder mehrere unbekannte Parteien). Das hat das Unternehmen im Security Bulletin bekannt gegeben MS08-067 und hat es in einem Out-of-Band-Fix gepatcht – das heißt, einer, der an die Massen gedrängt wurde nicht am Patch-Dienstag; es war so dringend. Das Problem liegt in der Art und Weise, wie netapi32.dll RPC-Anforderungen verarbeitet und sich im Windows Server-Dienst befindet. (Sagen Sie es mit mir, Bug Hunter: Stack Buffer Overflow Vulnerability. Es ist manchmal wie ein gebrochener Rekord mit diesen Schwachstellen.)

Eine Bedrohung mit vielen Tentakeln. Der von der Sicherheitslücke betroffene Windows Server-Dienst wird mit Systemberechtigungen ausgeführt, sodass das Potenzial für Chaos spektakulär ist. Der Wurm kopiert seine ausführbare Datei in das Windows-Systemverzeichnis und erstellt dann einen Dienst, um ihn bei jedem Start von Windows auszuführen und die Registrierung zu ändern.

Sobald es drin ist, beginnt es, andere Maschinen zu infizieren, indem es einen TCP-Port auswählt und einen HTTP-Server startet, die IP-Adressen anderer Maschinen erhält und versucht, diesen Puffer zu überlaufen. (Bei diesem Vorgang führt der Wurm einen Brute-Force-Angriff durch, um Zugriff auf das Administratorkonto zu erhalten; a aufführen von versuchten Passwörtern auf Viruslist.com sorgt für einige peinliche Lektüre.) Der Puffer läuft über, Code wird gestartet, um den Wurm herunterzuladen, und der Kreislauf des Malware-Lebens beginnt von neuem.

Die Geschicklichkeit des Wurms, die Dienste und Benachrichtigungen zu deaktivieren, die sein Vorhandensein bemerken könnten, und sogar den Zugriff auf eine Reihe von sicherheitsrelevanten Websites zu blockieren, die das Problem melden könnten: Windows Automatic Update Service, Background Intelligent Transfer Service (BITS), Windows Security Center-Dienst, Windows-Fehlerberichterstattungsdienst und Windows-Fehlerberichterstattungsdienst. Es deaktiviert Windows Defender und blockiert alle Benachrichtigungen des Sicherheitscenters. Es löscht alle Systemwiederherstellungspunkte, die der Benutzer zufällig auf dem Computer erstellt hat, und verschleiert seine Anwesenheit weiter. Und es weiß, wie es Suchmaschinen anruft, um die neuesten Kopien von sich selbst oder was auch immer seine Bewahrer zu bieten haben, zu finden.

Gerüchte, dass es Ihren Welpen zum Grillen bringt und Ihre Schwester umhaut, waren bei Redaktionsschluss unbestätigt.

Unter einem anderen Namen. Ja, es wäre schön, wenn Anti-Malware-Unternehmen sich bei der Benennung dieses Schmutzes zusammenschließen könnten. Inzwischen nennt es Computer Associates Win32/Conficker und berichtet bisher EIN und ein B Ausführung. F-Secure nennt es W32/Downadup.A. Sophos nennt es Mal/Conficker-A. Symantec nennt es Conficker außer wenn sie es anrufen W32.Downadup (danke Leute). Kaspersky, um die Sache interessant zu halten, nennt es Net-Worm.Win32.Kido und berichtet von mehreren Variationen. Secunia hat es als bezeichnet Sicherheitsanfälligkeit bezüglich Kanonisierung im Microsoft Windows-Pfad. CERT hat es abgedeckt Technischer Cybersicherheitsalarm TA08-297A. Und die Common Vulnerabilities and Exposures-Datenbank von NIST, in der die Daten noch überprüft werden, nennt es CVE-2008-4250.

Sie müssen nicht Teil des Problems sein. Patch. Du bist drei Monate hinter dem Zeitplan. Abgesehen davon, SecuriTeam hat im Oktober berichtet dass es eine Problemumgehung gibt – deaktivieren Sie die Server- und Computerbrowser-Dienste auf dem/den Computer(n) und blockieren Sie die Ports 139 und 445 an der Firewall.



Vorheriger ArtikelMobile Malware bedroht Geld
Nächster ArtikelHeartland durchbricht die neunstellige Datensicherheitsgrenze

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein