image

Conficker gevaarlijkste worm afgelopen jaren

dinsdag 3 februari 2009, 16:33 door Redactie, 3 reacties

Op 23 oktober vorig jaar bracht Microsoft een noodpatch voor een lek in Windows uit, die uiteindelijk tot de grootste wormuitbraak van de afgelopen jaren zou leiden. Amper een dag na het verschijnen van de patch voor het lek in de Windows Server service, werd bekend dat een Trojaans paard de kwetsbaarheid misbruikte om systemen te infecteren, hoewel die zich binnen hetzelfde netwerk moesten bevinden. De malware kreeg de naam Gimmiv.A en was vooral in Azië actief. Later kwam daar Kernelbot.A bij, een worm met botfunctionaliteit. Het aantal slachtoffers zou in de duizenden lopen, toch verwachtte experts geen grootschalige uitbraak, aangezien dat niet in het voordeel van de verantwoordelijke cybercriminelen zou zijn.

Op 23 november, een maand na de patch van Microsoft, kwam er verandering in de situatie. Symantec verhoogde de alarmfase van het internet van "normaal" naar "verhoogd". Een nieuwe worm genaamd Downadup was actief bezig met de infectie van Windows 2000 systemen. Downadup wist systemen via TCP poort 445 te infecteren. Zodra het systeem was overgenomen, creëerde het een HTTP server met een willekeurige poort, die het in UPnP routers openzette. De URL van de server werd naar andere computers gestuurd, die op hun beurt de worm van de gecompromitteerde machine downloadde. De eerste variant van Downadup wist in korte tijd maar liefst een half miljoen machines te besmetten

Nieuwe variant
De situatie verslechterde in rap tempo. Op nieuwjaarsdag ontdekte Symantec een nieuwe variant van Downadup, door Microsoft Conficker genoemd, die zich op drie manieren wist te verspreiden. Het gebruikte het MS08-067 beveiligingslek in Windows, en nog eens op een veel efficiëntere manier waardoor ook XP systemen massaal besmet raakte, het gebruikte AutoRun en gedeelde mappen en computers met zwakke wachtwoorden op het netwerk. Tijdens het weekend sloeg Microsoft al alarm omdat een groot aantal bedrijven de helpdesk van de softwaregigant met telefoontjes overspoelden. Twee weken later werd bekend dat Conficker al zeker tien miljoen Windows computers had besmet, maar Panda Security acht het zelfs mogelijk dat zes procent van alle Windows machines op aarde geïnfecteerd zijn geraakt.

Hoe nu verder
De vermoedelijke bende achter Conficker hield zich in het verleden bezig met het installeren van nep-virusscanners. Gebruikers krijgen tal van waarschuwingen dat hun systeem besmet is en kunnen de aangeboden oplossing kopen om de niet bestaande malware te verwijderen. Andere doeleinden voor zoveel besmette computers zijn het stelen van persoonlijke informatie, zoals creditcardgegevens, het versturen van spam of het uitvoeren van DDoS-aanvallen. In tegenstelling tot andere uitbraken wordt er op dit moment niets met de besmette machines gedaan. Ze wachten allemaal op een update of tot iemand de malware verwijdert. Met Conficker besmette systemen maken verbinding met willekeurige websites om te kijken of er een update beschikbaar is of krijgen die via de aanwezige Peer-to-Peer functionaliteit binnen.

Pijnpunten
Ondanks het feit dat de worm nog niets doet, is die niet ongevaarlijk. De worm dicht het lek waardoor het binnenkomt, maar schakelt daarnaast de Windows systeemherstelfunctie uit en blokkeert toegang tot de websites van Microsoft en anti-virusbedrijven. Conficker is met name actief in Zuid-Amerika en China, maar heeft ook daar buiten vele systemen besmet. Microsoft bracht in januari wel een nieuwe versie van de Malicious Software Removal Tool uit om de worm te verwijderen. De gratis virusverwijdertool wordt aangeboden via Windows Update en veel van de getroffen bedrijven hebben dat juist uitgeschakeld.

Naast het wachten op acties van de bende achter de worm, speelt inmiddels ook de discussie of beveiligingsbedrijven niet proactief de besmette machines moeten ontsmetten, bijvoorbeeld via een "goedaardige worm". Wat Conficker duidelijk maakt is dat veel bedrijven hun beveiliging niet op orde hebben. Niet alleen loopt men achter met updaten, ook heeft men AutoRun niet uitgeschakeld en gebruikt men zwakke wachtwoorden voor gedeelde computers en mappen. Allemaal pijnpunten die de worm vlekkeloos blootlegt en volgens beveiligingsexperts is het goed mogelijk dat dit de voorbode van de nieuwe generatie computerwormen is.

Reacties (3)
04-02-2009, 10:12 door Anoniem
Naast het wachten op acties van de bende achter de worm, speelt inmiddels ook de discussie of beveiligingsbedrijven niet proactief de besmette machines moeten ontsmetten, bijvoorbeeld via een "goedaardige worm". Wat Conficker duidelijk maakt is dat veel bedrijven hun beveiliging niet op orde hebben. Niet alleen loopt men achter met updaten, ook heeft men AutoRun niet uitgeschakeld en gebruikt men zwakke wachtwoorden voor gedeelde computers en mappen.

Het legt ook nog eens bloot hoe de AV vendors hopeloos achter de zaken aanlopen. Dat de dure paketten die deze bedrijven kopen niet effectief zijn door de strategie van malware ontwikkelaars (versleutelen van malware, morphen van code, etc).

Leuk om alles bij de bedrijven neer te leggen "want deze bedrijven patchen niet", maar als er binnen 24 uur al een exploit beschikbaar is, dan wordt dat lastig patchen. Je zou dan verwachten dat je kunt terugvallen op netwerk en host protectie, maar daar schort het serieus aan.
20-03-2009, 21:29 door Anoniem
lol..
Ik heb 70% van al m'n poorten binnen m'n routers dicht gesmeten, dat wordt nog lollig..
Nogal wiedes dat ik het nogsteeds niet heb.. Terwijl ik 'gevaarlijk' surf..
07-04-2009, 16:52 door Jeremy
Hier kun je gemakkelijk zien of je bent geïnfecteerd of niet (behalve vanaf een proxy):

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.