Nieuws
image

Conficker scande heel het internet

donderdag 24 september 2009, 13:23 door Redactie, 7 reacties

Om het botnet in stand te houden, zocht de Conficker worm het hele internet af naar al eerder besmette machines, zo blijkt uit een analyse van SRI International. Onderzoekers wisten het P2P onderdeel van de worm te reverse engineeren en hebben nu hun bevindingen online gezet. "Een ongewoon aspect van het P2P scanning algoritme is dat het naar nieuwe peers zoekt door de gehele adresruimte van het internet af te gaan." Volgens de onderzoekers is deze keuze opmerkelijk, aangezien met Conficker C besmette machines deels met Conficker B overlappen.

Algoritme
Zowel bij Conficker A als B was er een probleem met het scanning algoritme, waardoor ze slechts een kwart van het internet konden scannen. "Waarom scant de Conficker P2P module het hele internet, als het scanning probleem met A en B de kans enorm verkleint dat met C geïnfecteerde hosts zich, op een kwart na, in die scans bevinden?" zo vroegen de onderzoekers zich af. Een mogelijke verklaring is dat de auteurs niet van het scanning probleem op de hoogte waren. Een andere reden kan zijn dat Conficker zo ook naar hosts zocht die via lokale scans en USB infecties zich hadden verspreid.

"Misschien de beste manier om de Conficker P2P server te bekijken is als een mechanisme voor de verspreiding van nieuwe uitvoerbare code in de al met Conficker C besmette machines. Zulke code zou de Conficker auteurs niet alleen complexe coördinatie logica laten doorvoeren, maar het ook mogelijk maken om het aanwezige Conficker C proces zelf direct te patchen, en zo het gedrag fundamenteel te veranderen, zonder dat dit de verspreiding en installatie van een nieuwe Portable Executable (PE) vereist."

Reacties (7)
24-09-2009, 13:26 door Anoniem
volgens mij is die conficker worm iets van de amerikaanse overheid.
24-09-2009, 14:29 door Anoniem
Door Anoniem: volgens mij is die conficker worm iets van de amerikaanse overheid.

Volgens mij is de Amerikaanse Overheid eigenlijk een cel van Al-Qaida. Maar ja, wat ik vind mag ik houden, toch?
24-09-2009, 19:34 door Thasaidon
Door Anoniem:
Door Anoniem: volgens mij is die conficker worm iets van de amerikaanse overheid.

Volgens mij is de Amerikaanse Overheid eigenlijk een cel van Al-Qaida. Maar ja, wat ik vind mag ik houden, toch?
Nee, wat je vind moet je naar de politie brengen. Die geven het dan weer terug aan de Amerikaanse overheid :D
24-09-2009, 20:49 door Anoniem
Door Thasaidon:
Door Anoniem:
Door Anoniem: volgens mij is die conficker worm iets van de amerikaanse overheid.

Volgens mij is de Amerikaanse Overheid eigenlijk een cel van Al-Qaida. Maar ja, wat ik vind mag ik houden, toch?
Nee, wat je vind moet je naar de politie brengen. Die geven het dan weer terug aan de Amerikaanse overheid :D

die Amerikaanse overheind veroordeeld je dan,na uren lang waterboarding, als terrorist; omdat je helemaal niet had mogen zoeken
24-09-2009, 20:52 door MrBil
Haha Thasaidon.. Naja, het blijft een mooi stukje code.
24-09-2009, 21:50 door Anoniem
> Een mogelijke verklaring is dat de auteurs niet van het scanning probleem op de hoogte waren.

De spijker op zijn kop. Er gaat heel wat mis met het schrijven van dit soort troep, dat was vroeger al zo. Hoewel men enerzijds heus wel beter is gaan opletten (of pre-fab dingetjes inelkaar flanst, blijkbaar), wordt er ook een nieuwe uitdaging gecreert namelijk verspreiding. Tis nogal een verschil om als bootsector virus jezelf te verspreiden of als internet worm.

Of gaan we nu beweren dat virusschrijvers uberslimme lui zijn ? Het zijn optimisten (zoals alle andere programmeurs).

Robert
26-09-2009, 18:07 door spatieman
iedere overheid zijn terroristen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure