Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: Angst vor dem 3. Mai

Conficker-Wurm mutiert zur Version E

Redaktion / 13 Antworten / Flachansicht Nickles

Weltweit sind Millionen Rechner mit dem Conficker-Wurm verseucht. Und niemand weiß bislang, welchen Plan die Entwickler des Wurms verfolgen, welchem Zweck Conficker dienen soll. Viren-Experten können den Wurm lediglich auf versuchten Rechnern beobachten und spekulieren.

Jetzt meldet TrendLabs in seinem Malware Blog, dass der Conficker-Wurm in der Version "C" jetzt anscheinend aktiv wird. Es wurde entdeckt, dass sich Conficker momentan über sein eigenes P2P-Netzwerk aktualisiert. Durch das Update mutiert der Wurm in der "C"-Variante zur neuen als "E" getauften Version (auch WORM_DOWNAD.E genannt).

Grausam für die Wurm-Beobachter: sie können nur zugucken und erkennen, dass was passiert aber nicht rausfinden welchem Zweck es wirklich dient: Conficker's Selbst-Updates sind verschlüsselt. Conficker-E kümmert sich vor allem um eine bessere Tarnung um schwerer im System erkannt zu werden. Der Wurm verwischt im System sämtliche seiner Spuren und arbeitet zudem jetzt mit zufällig generierten und sich ändernden Dateinamen.

Zudem blockiert er weitere Webseiten, die Antiviren-Software oder spezielle Conficker-Entfernungs-Tools anbieten. Zudem konnte beobachtet werden, dass Conficker sich mit diesen Webseiten verbindet: myspace.com, msn.com, ebay.com, cnn.com und aol.com. Die Anti-Viren-Experten gehen jetzt davon aus, das Conficker am 3. Mai 2009 loslegen wird. Zuletzt wurde spekuliert, dass der Wurm sein Unwesen am 1. April startet.

bei Antwort benachrichtigen
Jenau so wirds sein. Alpha13
Prosseco Gerakl „Womöglich wird der Con nection ficker am 3 Mai irgendetwas unanständiges tun. : “
Optionen

Laut dieses Link:

http://www.tgdaily.com/html_tmp/content-view-41990-108.html

TrendMicro sagt, das angeblich Conficker eine neue Datei gebildet hat mit eine groesse von 119,296 bytes in den Windows Temp Folder. Diese Datei ist nicht via HTTP download gekommen, sondern durch eine Encrypted 134,880-byte TCP response von ein bekanntes Conficker Node, wo die Firma glaubt das es irgendwo sich in Korea befindet.

TrendMicro sagt das diese neue Art, hoert auf mit seine Programmierung am 3. Mai 2009. Es benuetzt ein Sicherheitsleck von Microsoft Sicherheit Bulletin MS08-067 um sich zu verbreiten.

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067.mspx

Laut aussage der Firma, der neue Wurm oeffnet den Port 5114 und fungiert als HTTP Server und sendet via SSDP request, danach versucht eine verbindung aufzubauen zu Myspace.com, msn.com, ebay.com, cnn.com and aol.com.

Als eine vorherige Version, es laesst keine Spuren hinter sich und in die Host Maschine. Es fuehrt sein Kommando aus und loescht alle Spuren, sogar Dateien und in die Registry.


Gruesse
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen