[News Flash]

Drahtzieher in der Ukraine vermutet

Seit Monaten gibt es nur wenig Neuigkeiten zum Botnetz Conficker. Doch immer noch steht über eine Million durch den Conficker-Wurm infizierter Rechner unter den Kontrolle der unbekannten Netzbetreiber. Deren Ziele liegen noch weitegehend im Dunkeln.
Lesen Sie den ganzen Artikel »

Ich nutze eine gute Sicherheitssoftware (a-squared Anti-Malware), daher ist mir Conficker extrem egal.

Warunungen über eine Spamwalle und großflächige Denial-of-Service-Angriffe machten die Runde.

Zitat:

Zitat von Fehler im Artikel

Warunungen über eine Spamwalle und großflächige Denial-of-Service-Angriffe machten die Runde.

Danke für die Aufmerksamkeit.

Gruß
striz

Theorie:
(Beim lesen des Artikels in meinem kleinen Kopf entstanden.
Sie ist also weder vollständig durchdacht, noch muß sie richtig sein)

Es könnte auch sein, daß die das Teil nur in die Welt rausgeschickt haben um herauszufinden wie die "Antibotnetz-Leute" vorgehen um bei der nächsten Version diese Angriffpunkte von vornherein zu eliminieren...

cu

Zitat:

Zitat von grunzer

Es könnte auch sein, daß die das Teil nur in die Welt rausgeschickt haben um herauszufinden wie die "Antibotnetz-Leute" vorgehen um bei der nächsten Version diese Angriffpunkte von vornherein zu eliminieren...

Gar nicht mal so abwegig. Wenn man bedenkt wie groß die mediale Aufmerksamkeit ist könnte ich mir gut vorstellen, dass die Betreiber keine weitere Publicity brauchen. Fakt ist, dass der Faktor Zeit wichtig ist. Mit jedem Tag verliert Conficker Zombies und wird früher oder später wertlos sein. Aber das kann noch dauern wenn man bedenkt, dass noch mindestens eine Million Computer infiziert sind. Andererseits analysieren die Anti-Viren-Hersteller immer noch die Anatomie von Conficker. Lassen wir uns überraschen.

Gruß
striz

Zitat:

Zitat von News Flash

Selbst Mikko Hypponen, Leiter der Malware-Forschung beim finnischen Antivirenhersteller F-Secure, wollte auf der Black Hat Sicherheitskonferenz keine neuen Informationen liefern.

Zitat:
Daher musste auch Mikko Hypponen, Chef-Virenforscher bei F-Secure, seinen Vortrag auf der Sicherheitskonferenz Black Hat in Las Vegas abkürzen. Ursprünglich wollte er über den Ursprung von Conficker berichten, wurde aber dazu angehalten, diese Informationen noch unter Verschluss zu halten. Er verweigerte auch eine Fragerunde nach seiner Präsentation.
Zitat Ende.
Quelle>> diepresse.com
Und wenn man weitere Nachrichten in Bezug auf den Conficker-Wurm liest, eine Pandemie der Mexicanischen Grippe ist dagegen ein Zuckerschlecken.

m.f.G.

Es ist sehr interessant, welcher Hype um das kleine possierliche Tierchen veranstaltet wird.
Eine Analyse der Vorgehensweise von Anti-Spezis kommt zwar potentiell in Frage, doch stellt sich da auch die Frage warum man einen derart aufwendigen Schädling züchten sollte und ihn sich auch noch weiterentwickeln läßt nur um daraus erkenntnisse für die Zukunft zu ziehen.

Dies wäre das wohl extremste Langzeitprojekt der Computervirusgeschichte. Immerhin plagt das gute Tierchen MS-Besitzer schon seit 2008.

Im Rahmen eines Projekts auf der Universität haben wir das gute Stück in der B-Variante mal eingefangen und den infizierten Rechner in ein Virtuelles Netz verfrachtet. Es ist faszinierend in welcher Geschwindigkeit sich das gute Stück ausbreitet und mit welcher Effizienz es auch gängigen Eliminationsversuchen trotzt.

Ich persönlich denke, dass die Programmierer des CF etwas anderes planen, was nicht im Sourcecode des Schmuckstücks enthalten ist. Überlegt mal, das wäre in etwa so als würde Microsoft auf ihre Verpackung schreiben "Wer diese OS nutzt kauft mangelhafte Ware"

Wenn man zudem die Rechenleistung der bislang "wahrscheinlich" gekaperten Rechner hochpotenziert steht den Schöpfern der Plage eine Leistung zur Verfügung mit der sie diverse Dienste zur Notabschaltung wegen Überlastung zwingen könnten ohne größere Mühe dafür aufbringen zu müssen.

Was mich eher wundert ist, warum das Botnetzwerk noch besteht. Einen Infizierten Rechner erkennt man mühelos. Der Wurm hat ein paar sehr interessante Eigenarten, die auch schon teilweise auf netzwelt erwähnt wurden. Wer so einen Rechner also besitzt und nicht endgültig vom Netz trennt, bis der Wurm vertrieben ist, lebt entweder hinter dem Mond und hat vom CF noch nichts gehört oder aber fällt für mich unter die Rubrik "Mittäter"

Die Idee der Österreicher, CF befände sich im "Sommerurlaub" ist zwar witzig aber ich bezweifle stark, dass da etwas dran ist.
Viel mehr dürfte die Vermutung zutreffen, dass Ermittler dem Programmiererteam des CF auf der Spur sind und diese sich bedeckt halten um keine weiteren Spuren zu liefern.

Persönlich fände ich die Idee interessant, wenn die Angelegenheit mit der Ukraine nur eine Finte wäre um evtl Kriminologen völlig in die Irre zu führen. Der Verdacht, das der Ursprungsort dort liegt ist so extrem offensichtlich wenn der Virus sich bei Kontakt mit Ukrainischer IP / Tastaturlayout abschaltet, dass es schon an Dummheit grenzt so offensichtliche Hinweise zu geben oder?

@Forscher:
Ich hätte Dir sofort ein Danke geschickt, wenn Du angemeldet wärst
Egal, mach ich es doch einfach so: Danke!

Aber:

Zitat:

Eine Analyse der Vorgehensweise von Anti-Spezis kommt zwar potentiell in Frage, doch stellt sich da auch die Frage warum man einen derart aufwendigen Schädling züchten sollte und ihn sich auch noch weiterentwickeln läßt nur um daraus erkenntnisse für die Zukunft zu ziehen.

Wenn man das zu einfach macht, dann haben die ja keine Nuß zu knacken und wenden sich frühzeitig ab bzw erkennen den Hintergrund zu schnell.

Ich würde das Ding unter allen Umständen so kompliziert machen wie möglich wenn ich über die Antis was (noch mehr als man eh weiß) erfahren will.

Solche Schadsoftwareschreiber haben doch sicherlich inzwischen ebenfalls schöne Codequellen, aus denen man sich "bedienen" kann, oder?
Die schreiben doch auch nicht für jeden Wurm komplett neuen Code... Ich glaube die sind noch fauler als "gute" Entwickler

BZW, wenn es ein Test sein soll ob man nicht vielleicht doch zurückverfolgt werden kann, dann würde ich auch keine "weitere" Schadroutine einbauen um meine evtl Strafe nicht zu hoch werden zu lassen...

Zitat:

Dies wäre das wohl extremste Langzeitprojekt der Computervirusgeschichte. Immerhin plagt das gute Tierchen MS-Besitzer schon seit 2008.

Da muß ich uneingeschränkt zustimmen Ist wirklich eine gute Frage, die mein Hirngespinst nicht beantworten kann!

Zitat:

Was mich eher wundert ist, warum das Botnetzwerk noch besteht. Einen Infizierten Rechner erkennt man mühelos. Der Wurm hat ein paar sehr interessante Eigenarten, die auch schon teilweise auf netzwelt erwähnt wurden. Wer so einen Rechner also besitzt und nicht endgültig vom Netz trennt, bis der Wurm vertrieben ist, lebt entweder hinter dem Mond und hat vom CF noch nichts gehört oder aber fällt für mich unter die Rubrik "Mittäter"

Nix für ungut: Aber diese Frage kann nur jemand stellen, der nicht von Nachbarin xy (oder ähnlichem) solche Fragen gestellt bekommt (wirklich passiert - keine Lüge!!!):
SIE: "Kannst Du mir einen Tipp geben für einen neuen Rechner für rund 700€? Meinen alten Monitor kann ich doch dann noch weiter verwenden, denke ich."
ICH: "Warum ein neuen Rechner, der alte ist doch erst 2 Jahre und schneller als meiner..."
SIE: "Ach der ist seit rund 6 Monaten so unglaublich langsam und seit 6 Wochen startet er nach etwa 10 Minuten immer wieder neu."

Soll ich mehr dieser Geschichten los lassen? Hätte noch ein paar, wie aus der Märchenstunde.

Zitat:

Persönlich fände ich die Idee interessant, wenn die Angelegenheit mit der Ukraine nur eine Finte wäre um evtl Kriminologen völlig in die Irre zu führen. Der Verdacht, das der Ursprungsort dort liegt ist so extrem offensichtlich wenn der Virus sich bei Kontakt mit Ukrainischer IP / Tastaturlayout abschaltet, dass es schon an Dummheit grenzt so offensichtliche Hinweise zu geben oder?

Genau das mit dem Tastaturlayout finde ich den seltsamsten Punkt bei dem Thema... Gut das Land ist auch nicht allzu klein (nicht so einfach jemanden zu finden), aber solche Hinweise gebe ich "Ermittlern" nur, wenn ich sie in die Irre führen will


Sachen die mich allgemein noch zu dem Thema interessieren würden:

• Warum sind die "bins" nicht verschlüsselt? (oder wurden die etwa entschlüsselt?!)
• Warum kann das "killbit" nicht auf den Bots aktiviert werden, wenn man das Teil so gut "recherchiert" hat? (oder gleich deinstallieren)
  Das Argument "ist auch Computersabotage" zählt da für mich nicht, da man ja "einfach" einen solchen Bot die Arbeit erledigen lassen können sollte...

Ich hoffe, die Zeit wird uns erleuchten :idea:
cu Grunzer

Zitat:

Zitat von grunzer

Sachen die mich allgemein noch zu dem Thema interessieren würden:

• Warum sind die "bins" nicht verschlüsselt? (oder wurden die etwa entschlüsselt?!)
• Warum kann das "killbit" nicht auf den Bots aktiviert werden, wenn man das Teil so gut "recherchiert" hat? (oder gleich deinstallieren)
  Das Argument "ist auch Computersabotage" zählt da für mich nicht, da man ja "einfach" einen solchen Bot die Arbeit erledigen lassen können sollte...

Mit Reverse Engineering lässt sich so ziemlich jeder Code "rückwärts" kompilieren. Das bedeutet die Spezialisten haben anscheinend erfolgreich Einsicht bekommen - Sind in diesem Bereich ja auch tagtäglich unterwegs. Problematik mit dem "killbit" ist, dass dazu die Kontrolle über den C&C Server nötig ist. Da es bei Conficker keinen zentralen Server gibt wie bei den meisten Botnetzen wird das schon schwierig. Und selbst wenn, kannst du dir sicher sein, dass so ein Server sicherer ist als manche Regierungsrechner. Meiner Meinung ist der Schlüssel irgendwo im Waleda-Wurm beziehungsweise im Storm-Netz. Conficker hat nämlich die gleichen Domains kontaktiert.

Gruß
striz

Guten Morgen,

Zitat:

Mit Reverse Engineering lässt sich so ziemlich jeder Code "rückwärts" kompilieren.

heise online - 21.03.06 - Skype unter die Lupe genommen

Besonders folgendes beachten:

Zitat:

Sie fanden heraus, dass der Hersteller immensen Aufwand betreibt, um das Reverse Engineering seiner Software zu verhindern. So erkennt der Client beispielsweise, ob er in einem Debugger (etwa SoftIce) läuft und ändert sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile des Codes sind sogar verschlüsselt und werden erst zur Laufzeit ausgepackt.

Zumindest so viel habe ich von denen erwartet


Und gerade weil es keinen "zentralen Server" geben soll, sollte ein Angriff über die Bots doch möglich sein... irgendwie haben die ja auch ihren "Evolutionsmechanismus" gestartet...
Man wird wohl die Bots nur richtig ansprechen müssen, damit sie einem gehorchen, wobei das "nur" vermutlich sehr relativ zu sehen ist

Zitat:

Conficker hat nämlich die gleichen Domains kontaktiert.

Wurden die nicht irgendwann blockiert, da sie vorher berechnet wurden?! Kann mich nicht mehr erinnern

Tja, bei dem Thema ist wirklich alles denkbar. Und ob das schon ausreicht um die ganze Dimension des Themas zu überblicken, weiß ich auch nicht

cu

Alles wahnsinnig interessant und gerade bei dieser Thematik ist erkennbar, wo die wirklichen IT-Experten zu finden sind.
Aber: Obgleich ich mich mit Home-PC´s beschäftige, solange es sie gibt, fehlt mir hier die erforderliche "Eindringtiefe".
Trotzdem bin ich sicher, daß jemand mal dem "normalen" user klarmachen kann, wo für uns die Gefahren liegen, wie und ob wir einen Befall feststellen können und welche Möglichkeiten des Schutzes es für uns gibt.

Gruß
antiTank

Ehrlich gesagt und nach einigen Monaten des interessierten Beobachtens / Forschens an der B-Variante ist eine komplette Formatierung des Rechners.

Der Informatikprofessor bei uns meinte damit könne man zu 99% eine weitere Infektion ausschließen.

Jeder kennt sicherlich den guten alten Befehl format c: oder?

Wichtig ist, alle Dokumente die ab der Infizierung kopiert wurden, sei es Usb-Stick, ne DVD etc vernichten.
Der Wurm schreibt sich in weitaus mehr Dateiformate als man sich als normaler User vorstellen kann.
Wenn man nun so eine "Archiv-Datei" wieder auf den frischen Rechner spielt geht der Spaß von vorne los, außer man besitzt bereits ein vollständig geuptes Windoof + neueste Variante des Haustierkiller (Virenscanner).
Letzteres halte ich allerdings für unwahrscheinlich.
Es dauert in der Regel mehrere Tage bis man die XP / Vista-Basisversion vom PC soweit wieder gepatched hat das sie utd ist.

Der Wurm hat nämlich einen kleinen Haken. Er schreibt sich nicht in die Biosdaten ein.
Ist ein wenig komplex zu Programmieren, da das Bios sehr empfindlich ist aber wer die alten Nervensägen kennt die gerne mal die Stromwerte des Rechners änderten und so für kaputte hardware sorgten weiß wovon ich schwafel.

Zu beachten ist eine vollständige Formatierung aller vorhandenen Partitionen. Falls vorhanden, bei den neueren Rechnern gang und gäbe, auch Ghostpartitionen für Wiederherstellungsmaßnahmen.
Wie bekannt ist löscht Conficker alle Wiederherstellungspunkte und sofern es sie findet auch Backups. Es nutzt also nichts ein Backup reinzuladen, entweder ist es gelöscht oder man hat den Wurm in einem frühen Stadium mitgesichert.

Ich hoffe mal damit dem guten antiTank geholfen zu haben und auch anderen Usern die Probleme mit dem Haustierchen haben.

Da die B Variante bislang die gefährlichste war gehe ich ohne Bedenken davon aus, das diese einfache Lösung auch für die C und D Variante gilt. Getestet wurde dies aber nicht.

Ein komplett formatierter Laptop war nach der Infektion mit Conficker B jedenfalls wieder Clean und konnte an ein öffentliches Netzwerk gehen ohne ein weiteres Auftreten des CF.

In diesem Sinne

euer Forscher

Danke @Forscher...
Solche sachlichen Beiträge könnten wir hier mehr gebrauchen!

Genau diesen Standpunkt der Neuinstallation nehme ich oft ein, wenn Schadprogrammfragen hier im Forum auftauchen (hier ein Beispiel):
R/Crypt.ZPACK.Gen
Es ist halt oft auch eine Frage des Aufwandes: 4 Stunden Neuinstallation gegenüber 1 Stunde Bereinigung + x Stunden nachträgliche weitere Fehlerbehebung

----
Viren, die die Hardware angreifen habe ich aber schon länger nicht mehr gesehen. Allerdings weiß ich nicht, ob das nicht mehr so einfach wie früher möglich ist, oder es einfach nicht mehr gemacht wird.
Wäre mal interessant darüber Informationen zu haben... @all

----
externe Speichermedien sind in meinen Augen das größte Einfallstor für Schädlinge... Bei uns sind diese viel häufiger als via Mail oder durch Sicherheitslücken übers Netz.
Das ist fast schon so wie bei echten Viren: Auf einem Kongress bringen alle Vortragenden ihre Vorträge auf usb-Sticks mit. Die Rechner werden meist schnell mal so aufgesetzt: "haben ja kein Netz, da braucht man nicht so auf Sicherheit achten..." ist die Devise!
Wenn der erste einen verseuchten Stick ansteckt, dann haben ihn alle ~10 weiteren Vortragenden dann auch.
Toller Spaß! "Meine Leute" habe ich jetzt so erzogen, daß die ihre kleinen 128MB Sticks mitnehmen (hat ja jeder genug davon) und diese dann (autostart ist deaktiviert und Virenscanner natürlich aktuell und laufend) nach dem Kongress erst formatieren bevor sie ihn wieder verwenden.


Grüße derweil Grunzer

Zitat:

Zitat von grunzer

Viren, die die Hardware angreifen habe ich aber schon länger nicht mehr gesehen. Allerdings weiß ich nicht, ob das nicht mehr so einfach wie früher möglich ist, oder es einfach nicht mehr gemacht wird.

Da darf ich dir erfreulich berichten, dass Peter Kleissner aus Wien das "Stoned" Bootkit entwickelt hat. Wurde vor 2-3 Wochen auf der Black Hat vorgestellt. Macht schönen Unfug mit dem BIOS, das Teil...

Seine Homepage:
http://web17.webbpro.de

Ein Interview:
http://derstandard.at/1246543787435/...ivirenprogramm

Gruß
striz

@Grunzer

Nunja, als Dipl Informatiker / Physiker (Jupp ich hab 2 Diplome^^)
Ist das für mich nicht soo schwer sachliche Beiträge zu leisten. Vor allem da PC-Schädlinge ein Hobby von mir sind.
Ich analysiere die sehr gerne und betreibe auch oft RE um die Sourcecodes ein wenig zu hinterleuchten.

Das faszinierende an vielen der Schädlinge ist, dass sie extrem simpel aufgebaut sind. Meist bestehen sie nur aus wenigen hundert Programmzeilen, wenn überhaupt.

CF hat da bedeutend mehr Codezeilen.
Wenn man das Ding aufdröselt geht mir als Programmierer das Herz auf. Die Designer von dem Dingen haben da wirklich verdammt gute Arbeit geleistet. Ok sie hätten ihren Sourcecode besser schützen können aber naja. Seien wir froh darüber das sie es nicht getan haben oder? =)

Jedenfalls fehlt bei dem Wurm eigentlich nur die Biosfunktion, was ihn zu der schlimmsten Plage der Geschichte vom Pc gemacht hätte, denn dann wären infizierte PCs nicht mehr zu retten. Zumindest nicht für Laien.
Und komplexe Vererbung.

An alle Nicht-Informatiker, das hat jetzt nur vom technischen Hintergrund was mit Darwin und Bio zu tun^^ Das gibts auch beim Programmieren.

Wenn unser Würmchen also beschränkt lernfähig wäre und eine Eigenselektion nach Schadenswirkung und Infektionsgrad vornehmen würde hätten wir ein Meisterwerk der Programmierkunst.
CF ist ja auch so schon sehr intelligent, aber eben nur in dem beschränkten Rahmen seiner Programmierung.

Aber ich schweife mal wieder ab...

Solange wie es MS gibt werden wir auch immer wieder etwas zu lachen haben.

In diesem Sinne: Pinguine an die Macht, gebt bunten Fenstern keine Chance!

Euer Forscher