Nieuws

Conficker worm niet handmatig te verwijderen

woensdag 30 september 2009, 15:14 door Redactie, 3 reacties

Zo'n 5,5 miljoen machines zijn wereldwijd nog altijd met de Conficker worm besmet, mede omdat de worm zo lastig te verwijderen is en beheerders vervolgens de vereiste beveiligingsupdate niet installeren. "We blijven veel infecties zien, met name voor de A en B varianten van Conficker", zegt Andre DiMino, directeur van de Shadowserver Foundation. De organisatie houdt voor de Conficker Working Group het aantal besmettingen bij. Volgens hem is de omvang van de worm goed in kaart gebracht, maar is het nu tijd voor de grote schoonmaak. Die moet voornamelijk in Brazilië, China en Vietnam plaatsvinden, aangezien daar de meeste machines staan.

De gigantische omvang van het botnet wordt ook veroorzaakt doordat het volledig verwijderen van de worm zeer lastig is. Veel van de besmette machines zijn in veel gevallen opnieuw geinfecteerd geraakt. "Het stelt zeer lastige ACL rechten in voor de bestanden en registersleutels die het aanmaakt", aldus Mikko Hypponen van F-Secure. "Handmatig verwijderen is zo goed als onmogelijk. En het beschikbaar stellen van Conficker verwijdertools duurde veel langer dan met andere wormen, aangezien deze zo enorm complex was."

Geen eind in zicht
Volgens Marcus Sachs, directeur van het SANS Internet Storm Center, kan de worm zoveel slachtoffers maken omdat veel machines nog altijd ongepatcht zijn. "Het is zeer waarschijnlijk dat veel machines voorheen besmet waren, zijn schoongemaakt, en opnieuw geinfecteerd zijn geraakt omdat de gebruiker niet de patch installeerde waardoor de worm naar binnen kon komen of per ongeluk de patch heeft verwijderd."

Aangezien er zo'n miljard computers op het internet zijn aangesloten, is er een groot aanvalsoppervlak voor de worm. "Het is mogelijk dat Conficker door de onvoorzichtigheid van gebruikers nog steeds miljoenen slachtoffers kan maken." Ook Hypponen verwacht geen oplossing in de nabije toekomst. "Conficker zal nooit stoppen met verspreiden. Er zijn nog talloze machines die kwetsbaar zijn. Gebruikers snappen het gewoon niet."

Experiment
De andere vraag blijft wat de botnetbeheerders met Conficker gaan doen. Het botnet is nog niet voor grootschalige DDoS-aanvallen ingezet, waar experts in eerste instantie bang voor waren. "Het is mogelijk een uit de hand gelopen experiment, of een test om te zien hoe goed er gereageerd wordt, of het zijn mogelijk de voorbereidingen voor een toekomstige aanval waar we nog niet aan gedacht hebben. De tijd zal het leren", besluit Sachs.

Virusschrijvers vieren komst Microsoft virusscanner

E-mail blunderende bank nooit geopend

Reacties (3)

30-09-2009, 15:20 door Anoniem

Indien je gestructureerd te werk gaat met schoonmaken en patchen, dan moet het niet zo'n probleem zijn van conficker af te komen. Er zijn tal van conficker detectie- en verwijdertools beschikbaar, en met goed patch management en vulnerability scan / intrusion detection applicaties met up to date signatures erbij kom je aardig ver.

30-09-2009, 15:23 door Anoniem

Voor een goed overzicht van conficker detectie- en verwijdertools, zie Dshield : http://www.dshield.org/diary.html?storyid=5860

10-02-2010, 20:02 door Anoniem

Conficker wordt in sommige gevallen door de detectie tools van grote antivirus software aanbieders gedetecteerd en in sommige gevallen ook verwijderd. Helaas komt het maar al te vaak voor dat er resten achter blijven in het register in
HKLM/software/microsoft/windowsNT/currentversion/svchost, dubbelklik op netsvcs. Daar zie je welke services er geladen worden tijdens het opstarten. Als er services met vreemde lettercombinaties bij staan zoals enkkhj of gherre e.d. dan zitten er nog resten van conficker in die pc en dat leidt tot vertraging in de werking van die pc, het niet meer toepassen van policies en het niet meer toepassen van updates, en nog veel meer.

Ik heb een tool gemaakt waarmee je computers in verschillende ip ranges kan scannen op de aanwezigheid van die vreemde lettercombinaties in het register. Daarnaast heb ik ook een tool die deze verwijzingen naar die services verwijdert. Zodra je deze tools hebt gebruikt is het een kwestie van opnieuw opstarten en de pc werkt weer naar behoren.

Indien je geinteresseerd ben in de technieken die ik gebruik om in grote netwerk omgevingen alle pc's confickervrij te maken dan kan je me altijd bellen op nummer 06 416 35 760. Vraag naar Dhr Veldkamp.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer