image

Nieuwe Conficker variant verspreidt zich via P2P

donderdag 9 april 2009, 11:07 door Redactie, 1 reacties

Een week later dan verwacht is het massale Conficker botnet eindelijk in beweging gekomen. Sinds 1 april communiceerden de besmette machines via het P2P-netwerk dat de worm opzet, maar werden er geen updates verstuurd, tot gisterenavond. Hiervoor gebruikten de makers van Conficker niet het gevreesde website mechanisme, dat elke dag 50.000 domeinnamen genereert, maar het eigen P2P-netwerk dat al sinds begin maart actief is.

Werd in Conficker.C het verspreidingsmechanisme uitgeschakeld, in de nieuwste variant is die weer actief. Dat betekent dat de worm weer naar andere netwerken en machines zoekt om te besmetten. Veel interessanter is het mogelijke verband met een andere malware-familie en de herkomst van de worm. De nieuwe Conficker maakt verbinding met servers die het Waledac botnet gebruikt voor het downloaden van aanvullende malware. Waledac dook voor het eerst begin januari op en zou het werk van de Storm worm auteurs zijn. Virusbestrijders vragen zich nu af of Conficker, Waledac en Storm dezelfde makers hebben. Ook Conficker machines downloaden nu een versleuteld bestand van deze Waledac server, wat het echter doet is onbekend.

Houdbaarheidsdatum
De nieuwste variant genereert willekeurige poortnummers tussen de 1024 en 10.000 om te communiceren en zich te verspreiden. Daarnaast is het voorzien van een "houdbaarheidsdatum", die op 3 mei van dit jaar verloopt. De worm stopt dan met werken. Een ander opmerkelijk punt is dat de update, na het bijwerken van de besmette machine, zichzelf verwijdert en geen bestanden of andere aanpassingen van het register achterlaat.

Springplank
Onderzoekers van Symantec ontdekten een met Conficker.C besmet systeem dat twee bestanden, 484528750.exe en 484471375.exe, in de Windows temp folder met een minuut tussenpauze had ontvangen. Het gaat om twee bots, Waledac en de nieuwe Conficker variant. De virusbestrijder vraagt zich ook af of Conficker nu Waledac malware aan het verspreiden is, maar wil eerst verder onderzoek plegen voordat het met een antwoord komt of hier van een trend sprake is.

Reacties (1)
10-04-2009, 22:09 door Anoniem
"De nieuwste variant genereert willekeurige poortnummers tussen de 1024 en 10.000 om te communiceren en zich te verspreiden. "

Weet iemand toevallig welke source port er wordt gebruikt, ik wil dit graag weten t.b.v. syslog analyse om mogelijke besmettingen op te kunnen sporen ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.