De eerste URL waar redactie naar [url=http://mtc.sri.com/Conficker/]verwijst[/url] bevat zo te zien (ik heb nu geen tijd om het stuk helemaal te lezen) een zeer interessante analyse compleet met technische details van de Conficker versies tot nu toe.

Interessant daaruit vind ik ook: M.a.w. AV-oplossingen presteren niet alleen ondermaats bij weinig verbreide malware, maar ook bij rommel waarvan de auteurs van bovenstaand artikel aangeven dat honeypots deze de afgelopen maanden nauwelijks konden missen.

Heeft iemand een goede verklaring waarom AV-oplossingen zo slecht presteren bij Conficker varianten?

Dus iedereen moet gewoon hun toetsenbord als Oekraïens instellen :+
http://ascii-table.com/img/keyboard-465.png
zo erg ziet dat er dus niet uit ;)

Ik ben dan wel geen security expert of hacker/cracker whatsoever gewoon een student aan een beheeropleiding maar ik heb wel respect voor deze coders.
Jammer dat ze kwaad in de zin hebben.

@bitwiper.
Misschien heeft het te maken met de Windows server service waar het verbinding mee legt. waarschijnlijk detecteert de AV het pas wanneer hij andere malware download.

Ik blijk toch ervaring te hebben met de conflicter.A alleen dan onder een andere naam.
Een wijze les geleerd, je kan beter updates Pushen i.p.v. wachten totdat users ze detecteren.

En het downloaden van encrypted spul helpt de antivirus ook niet. Kaspersky heeft wel de mogelijkheid tot secure verbindingen te scannen, alleen neemt dat ook weer andere risico's met zich mee.
de software voert een MITM uit waardoor je een selfsigned certificate krijgt toegeven vanuit kaspersky. Geen enkele browser pikt dit natuurlijk ;)

Heel eenvoudig: signature based AV heeft weinig toegevoegde waarde omdat de wormen meer en meer polymorf worden. Bovendien is het zo dat de eigenlijke infectie piepklein is en redelijk onschuldig maar dat die dan nieuwe payload gaat halen van andere (obscure) servers. Die nieuwe payload is dan zo specifiek dat geen enkele AV snel genoeg is om hem te detecteren. En die nieuwe payload bevat dan doorgaans de meest geavanceerde rootkit technologie om zich blijvende te verstoppen.

De enige effectieve manier om dit tegen te gaan is de administratieve rechten afpakken van al wie ze niet nodig heeft op z'n pc en een Host Based IPS (McAfee HIPS, Cisco CSA etc...) te installeren. Laat dat nu net dingen zijn waar een consument geen boodschap aan heeft.

Polymorfe (zichzelf veranderende) malware bestaat al heel lang. Is er in Conficker soms een -tot heden-onbekende technologie ingebouwd waarmee nieuwe varianten zich moeilijk of niet laten voorspellen?
Conficker.A was al 62,976 bytes [url=http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=2]volgens Symantec[/url].
In 60kB moeten toch voorspelbare patronen te vinden zijn lijkt me. Vermoedelijk hebben de AV-boeren deze worm onderschat en vereiste de analyse veel getalenteerde mankracht (die misschien steeds minder beschikbaar en/of erg duur is).

Dat nageladen spul lastig te detecteren is snap ik. IPS, non-admin, allemaal prima, maar we geven met z'n allen geld uit aan AV als first line of defense (detectie van malware voordat deze wordt opgestart. Daarbij is een MS08-067 infectie in eerste instantie lastig mee te tellen omdat virusscanners op file-I/O triggeren. Aan de andere kant wordt er vervolgens een DLL naar C:\Windows\System32 geschreven en dat mag toch wel op enige aandacht rekenen! Van AV verwacht ik zekerl dat ze bij het lezen van de malware vanaf een USB-stick of netwerk-share alarm slaan.

Een bestand van ca. 60kB dat zich verspreidt moet voorspelbaar en te detecteren zijn. Behalve gissen zie ik nog geen onderbouwde verklaring waarom Conficker zo slecht gedetecteerd wordt door gangbare AV-oplossingen.

[quote="door Napped"]Dus iedereen moet gewoon hun toetsenbord als Oekraïens instellen[/quote]Dat werkt alleen bij de A-variant, die overigens ook de geologische locatie van het IPnummer probeert te vinden. Ik heb van het weekend al dat rapport doorgenomen & de B-variant word vanuit Buenos Aires, Argentinie aangestuurd. Deze mist de toetsenbord-zelfmoord.
De B++-variant heeft 3 modificaties plus 39 nieuwe subroutines, waarmee de globale Cabal-samenwerking geinitieerd door Microsoft word omzeild. Zonder die samenwerking had Conficker eenzelfde of grotere impact gehad dan Sasser of Storm.
In alle varianten komt het erop neer dat er een buffer-overflow gecreeerd word.
Verdere analyse & beknopte vertaling gaat me boven de pet. ;-)

Hieronder een link naar een artikel hoe de worm te werk gaat:

http://www.dshield.org/diary.html?storyid=5842

In dat artikel concludeert de schrijver dat Conficker niet is geschreven door een amateur maar door een professional.

Aha, dus of het ip-adres uit het Holoceen of het Pleistoceen komt?

Deze software bevindt zich buiten de Windows partities, ze zit geëncrypteerd in ongepartitioneerde raw-data ruimte, opgedeeld in stukken. Buiten dat is er nog veel meer aandacht besteed aan het niet gedetecteerd worden.



Hahahaha =P


Dark