image

80% Conficker machines besmet met gevaarlijke C variant

donderdag 26 maart 2009, 13:24 door Redactie, 8 reacties

De Conficker Cabal, het samenwerkingsverband tussen registrars, Microsoft en beveiligingsbedrijven, heeft gefaald in het stoppen van de Conficker worm. De B-variant die in korte tijd zo'n 10 miljoen machines wist te infecteren, kan zich op twee manieren updaten: Door dagelijks contact te maken met 250 domeinnamen en een gebrekkige P2P-functionaliteit. De P2P-functionaliteit werkt alleen van binnen het netwerk waar de besmette machines zich bevinden en is niet vanaf het internet te gebruiken. Het genereren van de 250 domeinnamen werkt wel naar behoren, maar op 12 februari besloten Microsoft, Symantec, het Internet Corporation for Assigned Names en Numbers (ICANN), DNS-beheerders en nog verschillende andere partijen om de worm aan te pakken. Doordat het algoritme voor het genereren van de domeinnamen was gekraakt, kon men die preventief registreren, zodat het Conficker-B netwerk nooit geüpdate zou kunnen worden.

Mogelijk is er een domein doorheen geslipt, maar waarschijnlijker is dat een al veel eerder geregistreerd domein uit de generator rolde. Begin maart werd al duidelijk dat een aantal domeinen al in het verleden was vastgelegd, waaronder ook een Nederlandse website. De makers van Conficker zouden de betreffende website hebben kunnen hacken om zo de update voor Conficker.B daar te plaatsen.

Hoewel de precieze gang van zaken nog onduidelijk is, is wel duidelijk dat de update actie een groot succes is geweest. Zeker 60% en mogelijk 80% van het Conficker.B netwerk is met de veel gevaarlijkere C-variant geüpdate. Deze versie is voornamelijk gebouwd om het botnet in stand te houden en infecteert bijvoorbeeld geen nieuwe machines. Daarnaast genereert die elke dag 50.000 domeinnamen om verbinding mee te maken en is er een robuuste, en dit keer werkende, Peer-to-Peer functionaliteit toegevoegd.

Over het aantal door Conficker besmette machines bestaat nog altijd een hoop onduidelijkheid. Microsoft spreekt over 3 miljoen geinfecteerde Windows computers, terwijl het Finse F-Secure al in januari de 10 miljoen noemde.

1 april - einde van internet?
Het nieuwe Conficker botnet zal op 1 april zichzelf activeren en op zoek gaan naar nieuwe updates en opdrachten. Rik Ferguson van Trend Micro durft niet met zekerheid te zeggen waar de update uit zal bestaan, maar acht het goed mogelijk dat de makers van Conficker het botnet zullen gaan verhuren. Hij verwacht in ieder geval niet dat op 1 april het internet zal vergaan, zoals sommige mediaberichten de laatste week lieten geloven.

Ook Eddy Willems van het Russische Kaspersky Lab zegt tegenover Security.nl dat internetgebruikers niet hoeven te vrezen. "Anders zou het de grootste 1 april grap van het jaar zijn." De Belg maakt zich voornamelijk zorgen dat er nog steeds talloze bedrijven zijn die niet de laatste updates geïnstalleerd hebben. "Dat baart mij grotere zorgen."

Professioneel
De vraag blijft wat de beveiligingsgemeenschap en anti-virusbedrijven tegen dit zeer krachtige botnet gaan doen. De analyse van SRI International liegt er niet om. Zeer professionele ontwikkelaars hebben Conficker gemaakt en houden nauwlettend de laatste ontwikkelingen in de gaten. Zo gebruikte Conficker.B het MD6 hash algoritme, dat slechts een maand eerder voor het publiek beschikbaar kwam. Op 19 februari werd bekend dat er een buffer overflow in de MD6 implementatie zat, die ook in Conficker.B aanwezig was. Via dit beveiligingslek was het niet mogelijk om het Conficker botnet over te nemen. Toch bevatte Conficker.C, die twee weken later verscheen, een patch voor het MD6-lek. Ferguson besluit door te zeggen dat beveiligers in ieder geval niet het botnet zullen hacken om zo de machines te ontsmetten, aangezien dit in veel Westerse landen verboden is.

Reacties (8)
26-03-2009, 14:07 door Anoniem
Kunnen ze niet eens actief eigenaren van besmette machines gaan informeren of zo iets.

Het lijkt mij dat dit best moet kunnen, mits ook de providers meewerken!
26-03-2009, 15:18 door Anoniem
Door AnoniemKunnen ze niet eens actief eigenaren van besmette machines gaan informeren of zo iets.

Het lijkt mij dat dit best moet kunnen, mits ook de providers meewerken!

Als het gaat kost dit tijd en tijd is geld. En niemand werkt graties dus wie gaat het betalen?
26-03-2009, 15:29 door Anoniem
Tuurlijk even contact opnemen met 10 miljoen PC eigenaren, om nog maar niet te spreken van het probleem dat het zich nog steeds verspreid
26-03-2009, 16:17 door Anoniem
Als je zo een bericht leest dan denk ik meteen aan een 1 april grap
26-03-2009, 18:07 door wizzkizz
Door AnoniemKunnen ze niet eens actief eigenaren van besmette machines gaan informeren of zo iets.

Het lijkt mij dat dit best moet kunnen, mits ook de providers meewerken!
Ik vind dat providers machines die overduidelijk besmet zijn met virussen in een apart subnet/vlan moeten stoppen met hele strenge restricties.
Het liefst alleen toegang tot anti-virussites en een zeer duidelijke portal met informatie hoe van het virus af te komen.
E-mailen over poort 25 verbieden, alleen webmail toestaan etc.
26-03-2009, 20:09 door Anoniem
De Conficker Cabal, het samenwerkingsverband tussen registrars, Microsoft en beveiligingsbedrijven, heeft gefaald in het stoppen van de Conficker worm.
Over het aantal door Conficker besmette machines bestaat nog altijd een hoop onduidelijkheid. Microsoft spreekt over 3 miljoen geinfecteerde Windows computers, terwijl het Finse F-Secure al in januari de 10 miljoen noemde.
F-Secure laat in elk geval zien hoe men aan die 10 miljoen gekomen is (www.thetechherald.com/article.php/200904/2816/Conficker-How-the-count-of-over-eight-million-infections-came-to-be).
"Do bear in mind that this number only shows how many machines got infected via the MS08-067 exploit. Downadup spreads at least as much via network shares and USB sticks," added the company.
Dus 10 miljoen via MS08-067 en tenminste nog eens 10 miljoen via netwerk en usb. En dat was de stand in januari, twee maanden geleden.
Als het samenwerkingsverband gefaald heeft in het stoppen, verspreidt Conficker zich nu misschien nog sneller dan daarvoor. Het zou nuttig kunnen zijn om de omvang van het probleem helder te hebben. Al was het maar om een schatting te kunnen maken van de wereldwijde schade. Conficker haalt nog regelmatig koppen hier dus de nieuwswaarde is nog steeds groot genoeg.
Hoe komt het dan dat we geen betrouwbare recente gegevens hebben van het aantal besmette machines?
27-03-2009, 09:10 door Anoniem
Het zou me niets verbazen dat de FBI, CIA of zoiets dergelijks de eigenaar/beheerder is van Conficker.
Ze rollen het uit om terrroristen e.d. beter in de gaten te kunnen houden.
Straks is het van de ene op de andere dag opeens stil en denkt iedereen van Conficker af te zijn.
Ondertussen gaat Conficker met een vernieuwde versie verder waarbij alle instanties e.d. afgesproken hebben om deze niet te detecteren. (met als doel alles en iedereen in de gaten te houden i.v.m. mogelijke terrorisme)

Of heb ik nu te veel films gekeken?

Groeten,
B.
27-03-2009, 11:08 door Anoniem
Door wizzkizz
Door AnoniemKunnen ze niet eens actief eigenaren van besmette machines gaan informeren of zo iets.

Het lijkt mij dat dit best moet kunnen, mits ook de providers meewerken!
Ik vind dat providers machines die overduidelijk besmet zijn met virussen in een apart subnet/vlan moeten stoppen met hele strenge restricties.
Het liefst alleen toegang tot anti-virussites en een zeer duidelijke portal met informatie hoe van het virus af te komen.
E-mailen over poort 25 verbieden, alleen webmail toestaan etc.

Die technologie bestaat bij universiteiten al lang, en is zo te zien ook al tijden voor ISP's beschikbaar, volgens http://www.quarantainenet.nl/?language=nl;page=application-isp
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.