Start Empfohlen T-minus zwei Tage…Bereit oder nicht, hier kommt Conficker

T-minus zwei Tage…Bereit oder nicht, hier kommt Conficker

20
0


WürmerDie Computer – es wird angenommen, dass es bei der letzten Zählung mehr als eine Million sind – sind an Ort und Stelle. Die Microsoft-Schwachstelle, die dies möglich macht, wurde vermutlich von jedem gepatcht, der dies tun wird. Der giftige Code selbst wurde aktualisiert. Wir haben die Wirkung der frühen Tests gesehen, wir haben über die Kopfgelder der Entwickler nachgedacht und müssen uns dennoch fragen: Was passiert, wenn Conficker am Mittwoch aufleuchtet?

Möchten Sie es nicht wissen. Würden nicht viele Leute gerne wissen.

Während der Rest der Welt seine Klammern ausfüllte und sich fragte, warum Madonna ein weiteres Kind adoptieren muss, waren die unbekannten Täter von Conficker damit beschäftigt, ihr Botnet zu polieren – obwohl sich „Botnet“ an dieser Stelle wie ein ziemlich unangemessenes Wort anfühlt. Nach mehreren Code-Updates stehen Conficker mindestens 50.000 Sites zur Verfügung, um seine Aktivitäten aus der Ferne zu kontrollieren, was auch immer sie sein mögen.

Die Schätzungen über die Anzahl der betroffenen Maschinen variieren. Die am Freitag veröffentlichte monatliche Bedrohungsanalyse von Fortinet besagt, dass Conficker in diesem Monat die vierthäufigste Infektion ist – wenn auch etwas weniger als am Tag der höchsten Infektion am 12. Februar. Microsoft hat seit diesem Tag keine neue Infektionsschätzung veröffentlicht (zufälligerweise der Tag). auf der das Unternehmen eine Belohnung von 250.000 US-Dollar für Informationen ankündigte, die zur Gefangennahme von Confickers Pflegern führten); Sie sagten, dass zu dieser Zeit 3 ​​Millionen Computer infiziert waren.

Nicht nur die Zahl der infizierten Maschinen ist ziemlich hoch, auch die Zahl der Maschinen, mit denen sie kontrolliert werden können, ist in die Höhe geschossen – ein entscheidender Grund dafür, warum Conficker (auch bekannt als Downadup oder gelegentlich Downandup) so böse ist. Ein früherer Sieg von Anti-Conficker-Forschern, bei dem 250 Websites unter der Kontrolle der Malware wiedererlangt wurden, wurde eine Woche später ausgelöscht, als Confickers Hüter den Code optimierten. Jetzt kann es 50.000 Sites anzapfen – und es gibt praktisch keine Chance, diese zu schließen.

(Microsoft wird übrigens nicht einmal darüber sprechen, wie viele Hosts infiziert sind; wie Christopher Budd, Leiter der Sicherheitsreaktionskommunikation bei Microsoft, es ausdrückt: „Während Microsoft und ICANN mehrere Datenpunkte überwachen, indem sie diese Zahlen preisgeben, können die Kriminellen ‚ Angriff unterstützt werden könnte und daher ist es im besten Interesse unserer Kunden, diese Zahlen zu diesem Zeitpunkt nicht zu veröffentlichen.“)

Diese spezielle Version namens Conficker C (oder Downadup.C oder zu unserer ewigen Verwirrung Conficker.D) kann auch verschiedene Anti-Malware-Programme sowie die Fähigkeiten von Microsoft für Sicherheitsupdates ausschalten. Fortinet-Analysten stellen fest, dass die C-Version einen neuen Algorithmus zur Domänengenerierung einsetzt und MD6 (eine verbesserte kryptografische Hash-Funktion) verwendet, um die Gültigkeit des Codes zu überprüfen. Alles in allem, sagen Experten, sind die Autoren von Conficker fleißig, klug und behalten die Bemühungen, ihr Baby außer Betrieb zu nehmen, genau im Auge. (SRI International, das Conficker C seit Wochen genau analysiert, hat eine faszinierende Analyse mit Flussdiagrammen veröffentlicht.)

Diese Bemühungen variieren. Einige Inhaber von Top-Level-Domains, wie Kanada und seine kanadische Internet-Registrierungsbehörde, hoffen, die Auswirkungen des Angriffs auf seine Websites (und seinen Ruf) durch die Registrierung und Isolierung von Domains zu mildern, von denen sie glaubt, dass die Conficker-Software versuchen könnte, sie zu generieren. Dadurch wird Conficker daran gehindert, Sites einzurichten, um die Command-and-Control-Software zu hosten, die infizierte Computer steuert. Microsolved bietet einen kostenlosen Honeypot an, der Conficker-Sonden oder -Scans erkennen und dokumentieren kann (nur Linux, Leute), und andere Gruppen kündigen im Laufe des Tages Tools und Erkennungsstrategien an.

Und die Koalition von Unternehmen, die sich vor ein paar Wochen zusammengefunden hat, läuft immer noch auf der Uhr und aktualisiert ihre Website über das Wochenende. Die Conficker Working Group (ehemals Conficker Cabal) hat auch ihre FAQ aktualisiert und darauf hingewiesen, dass die nur Was wir über den 1. April und Conficker definitiv wissen, ist, dass die Malware auf einen neuen Algorithmus umstellt, um zu bestimmen, welche Domänen infizierte Computer für weitere Anweisungen kontaktieren sollten.

Also was solls ist es? Was will es von uns? Warum befinden wir uns in einer Situation, die der Landungsszene nicht unähnlich ist? Der Tag an dem die Erde still stand? Die derzeit vorherrschende Theorie über Conficker ist, dass es das Malware-Äquivalent zum Cloud-Computing ist – viel Platz, große Kapazität, zu mieten, für Bösewichte. Die meisten Botnets werden aus finanziellen Gründen betrieben, also stehen wir vielleicht kurz vor großen Diebstahl- oder Betrugsversuchen; Noch schlimmer ist, dass ein so großes und schwer auszurottendes Botnet für Cyberangriffe auf Nationen oder gegen das Netz insgesamt verwendet werden könnte. Das passiert nicht unbedingt am Mittwoch; Auch hier ist bekannt, dass am Mittwoch nur der Algorithmus geändert wird … und eine Menge Nerven beim Warten und Zuschauen.

Und auch dir einen schönen Aprilscherz!

[Pair of Iberian worm lizards (Blanus cinereus)) pictured courtesy of Richard Avery, via Wikimedia Commons.]



Vorheriger ArtikelGefunden: Eine Achillesferse für Conficker
Nächster ArtikelCERT schlägt Conficker-Check mit einem Klick vor

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein