Zet gewoon een ongepatch systeem op het internet en hij komt vanzelf langs.

Is dit voor zakelijk of particulier gebruik ?

Wat is er moeilijk aan om een niet up to date Windows systeem direct aan het net te hangen? Hij komt dan (samen met wat vriendjes) vanzelf bij je langs en dan hoef je niet van die (naar mijn mening) vreemde vragen te stellen op een security forum.

Gr Fabienne.

Voor welk OS moet die worm zijn?

Voor dit soort vragen kun je beter naar http://www.offensivecomputing.net/ gaan.

Compile m zelf..misschien heb ik de source ervan......en gebruik altijd VMware, om te testen...
ik geef je de source code later..

Ik heb ergens (weet niet meer waar) gelezen dat de code detecteert of deze binnen VMWare draait. Gedrag zal dan waarschijnlijk anders zijn.

Het is niet echt gepast dat dit forum zich leent voor oproepen tot uitwisseling van malware, en nog wel op de voorpagina van de site geplaatst. Verwijderen dit topic, en het beleid bij security.nl aanpassen!

hij gaat dan slapen.


Mensen willen deze NETWORK aware worms liever niet publiek hebben.

Wie zeg dat jij hem niet even bij je school los laat of bij een bibliotheek?

http://www.offensivecomputing.net/?q=node/1031

Met wat beter zoeken. justfuckingoogleit

lmao, het is open source, en ik zal m gewoon hier posten.
ik ben een black hat, voor degene die het nog niet weten.
kom anders naar www.darkmindz.com
betreden op eigen risico

klopt, er zit een anti sandboxie, anti-VMware en anti-virtualPC op..maar als je m zelf compiled, dan kun je die opties uitschakelen.en kun je zn gedrag analyseren.

ja..een echte muts ben je, als je niet weet wat een black hat is....lol

en jij snapt m duidelijk niet, haha

nooit van een tinfoilhat gehoord ?

Ach een darkmindz hackertttt. Jij bent echt cool dat je de conficker worm hebt. Echt mucho respecto..... NOT

Ga vissen ofzo

@ $nip3r

Een link naar je eigen pagina is prima, maar het plaatsen van broncode is niet de bedoeling.

@redactie
ok, will not happen again...want ik kom hier graag....
grtz

@spirtit en Dr.Wh4x ..Deze pagina is ook niet van jullie...ik kom hier mijn kennis delen met jullie, en blijkbaar waarderen jullie dat niet...
ik heb nu al 3 negatieve berichten gehad...dus shut the fuck up, als je niet weet waar het over gaat..

Ey scriptkiddie... Ik heb eens op je "darkmindz" site gekeken.. nou zoveel is daar niet aan zeg... entry level hacker wannabe's !

Had hem even nodig voor wat testjes.
Hoewel ik geen security-uno ben krijg ik wel menig computers clean.

Mijn belangrijkste vraag werd over het hoofd gezien, wie heeft deze al eens gehad?

Beetje rare vraag inderdaad, maar ik ben verantwoordelijk voor bijna 200+ ketens met computers. Wekelijks kan ik pc's opschonen. Maar nog nooit dit virus gezien, dus ik wil:
1) Zeker weten dat het bestaat
2) Mezelf voorbereiden op handelingen voor disinfectie

Owjah, waarom ik het vraag op security.nl en niet even zelf ga googlen?
Juist omdat security portals leden geacht zouden hebben die hiervan kennis opgenomen zouden hebben.
Miljoenen computers zijn er besmet, waarom kwam ik er dan nog nooit 1 tegen?

nou hij bestaat echt hoor
en omdat jij hem nog nooit hebt gezien betekent dat niet dat het niet zo is.
pffffft
veel succes met je 200+ ketens

Botnets zijn voor echte jongens ik ben inderdaad stil...............

Gezellig flamen op elkaar, slotje graag ?

Ik heb er geen problemen mee.

Conficker wordt in sommige gevallen door de detectie tools van grote antivirus software aanbieders gedetecteerd en in sommige gevallen ook verwijderd. Helaas komt het maar al te vaak voor waardoor er resten achter blijven in het register in
HKLM/software/microsoft/windowsNT/currentversion/svchost, dubbelklik op netsvcs. Daar zie je welke services er geladen worden tijdens het opstarten. Als er services met vreemde lettercombinaties bij staan zoals enkkhj of gherre e.d. dan zitten er nog resten van conficker in die pc en dat leidt tot vertraging in de werking van die pc, het niet meer toepassen van policies en het niet meer toepassen van updates, en nog veel meer.

Ik heb een tool gemaakt waarmee je computers in verschillende ip ranges kan scannen op de aanwezigheid van die vreemde lettercombinaties in het register. Daarnaast heb ik ook een tool die deze verwijzingen naar die services verwijdert. Zodra je deze tools hebt gebruikt is het een kwestie van opnieuw opstarten en de pc werkt weer naar behoren.

Indien je geinteresseerd ben in de technieken die ik gebruik om in grote netwerk omgevingen alle pc's confickervrij te maken dan kan je me altijd bellen op nummer 06 416 35 760. Vraag naar Dhr Veldkamp.

Aanvulling hierop: onder die key (dat ding eindigend op svchost) bestaat zowel een subkey genaamd netsvcs (in het linker deel van het venster, vergelijkbaar met de directory tree in explorer), als een value name genaamd netsvcs, om die te zien moet links SvcHost geselecteerd zijn. Dhr. Veldkamp bedoelt die laatste.

Voor een leek zullen veel van de namen in de ntsvcs registerwaarde als "vreemde lettercombincaties" overkomen (bijv. Ias, Iprip, Nla, TrkWks, WZCSVC, WmdmPmSp, wscsvc, xmlprov, wuauserv, WmdmPmSN, hkmsvc - wat is vreemd?). Bovendien zou een toekomstige Conficker variant best minder willekeurige namen kunnen gebruiken (er bestaat andere malware genaamd Agobot die als scvhost i.p.v. svchost te zien kan zijn in taakbeheer - zelfs een ervaren sysadmin kijkt daar gemakkelijk overheen).

In http://support.microsoft.com/kb/962007 (NL: http://support.microsoft.com/?scid=kb%3Bnl%3B962007&x=14&y=10) kun je vinden welke services hier standaard genoemd horen te worden. Ga daarvoor naar de "Services table" (NL: "De tabel Services") en kies "Expand this table" (Deze tabel uitklappen).

Om te zien welke services er daadwerklijk draaien, en welke daarvan onder svchost.exe vallen, tik je achter een commandprompt: Tasklist /SVC gevolgd door Enter (bron en meer info: http://support.microsoft.com/kb/314056).