image

Roemenen vinden "medicijn" voor Conficker worm

vrijdag 13 maart 2009, 09:17 door Redactie, 5 reacties

De Roemeense virusbestrijder BitDefender beweert als eerste een verwijdertool voor de Conficker te hebben ontwikkeld die alle varianten verwijdert en niet door de worm wordt opgemerkt. Hoeveel machines de malware precies heeft geïnfecteerd is nog altijd reden voor discussie, maar het zou in de miljoenen lopen. De gratis tool is te downloaden via bdtools.net, een domein dat de worm nog niet blokkeert. Zodra Conficker een systeem besmet, schakelt het Windows Update en de Systeemherstelfunctie uit en past het Windows Hosts-bestand aan, zodat men websites van anti-virusbedrijven niet meer kan opzoeken. De nieuwe website van BitDefender is nog niet in deze lijst opgenomen.

De Britse virusbestrijder Sophos maakte een vergelijking tussen de B en C variant. De nieuwste versie genereert 50.000 domeinnamen per dag, maar maakt met slechts 500 contact om te zien of er updates beschikbaar zijn. De B variant genereerde slechts 250 domeinnamen. Een ander verschil is dat Conficker.C elke domeinnaam slechts één keer per dag probeert, in tegenstelling tot Conficker.A, die de 250 domeinnamen om de twee uur allemaal probeerde. Deze versie verzond ook om de vijf seconden een DNS query, wat niet alleen voorspelbaar is, het zou ook detectiesystemen een hint kunnen geven dat er iets mis is. De nieuwste versie gebruikt daarom een willekeurige interval tussen de 10 en 50 seconden om onopgemerkt te blijven.

Afweging
De nieuwe tactiek is erop gericht om detectie te voorkomen, maar is die ook succesvoller? "Met slechts 500 willekeurig oproepen van de 50.000 domeinen, heeft een actief domein alleen de potentie om ongeveer 1% van de besmette machines te bereiken. Eén procent lijkt misschien erg weinig, maar het is meer dan niets, wat het succespercentage van het originele "call-home" protocol is", aldus Mike Wood. Hij wijst erop dat de anti-Conficker alliantie dan wel de 250 domeinen per dag moet blijven registreren. "Dit is exact de reden waarom de worm deze nieuwe tactiek heeft gekozen, aangezien het veel lastiger is om 50.000 domeinen per dag te kapen. De maker heeft daarom een langere levensduur ten koste van een lager succespercentage geaccepteerd."

Reacties (5)
13-03-2009, 09:34 door Napped
Netjes, maar even gedownload voordat conficker dit domein ook gaan blokkeren.
Goed werk.
13-03-2009, 14:42 door Anoniem
leuk zo'n removal, maar ik vertrouw mijn systeem dan nog niet.
wie kan mij garanderen dacht ech alles weg is?
mocht ik ooit een pc tegenkomen met Conficker erop, dan blijt het gewoon format.
dit is en blijft naar mijn idee gewoon de enige goede oplossing.
13-03-2009, 15:19 door Anoniem
BitDefender <3
17-03-2009, 01:01 door Pr3torian
het zal me niet verbazen dat ze die worm zelf ontwikkeld hebben....
22-03-2009, 14:54 door Anoniem
Hm, is er een manier om te zien of je pc werkelijk besmet is ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.