Artikel mit ‘Mac’ getagged

Neuer Partnerblog

Freitag, 13. März 2009

Daniel ist nun auch auf das “Bloggen” gekommen. Wer ihn besuchen möchte, kann dies gerne unter http://blog.simpletechs.net/ machen. Ich werde die Tage noch seinen RSS Feed verlinken, so sieht jeder auf dem ersten Blick, was Sache ist.

“Conficker” – Wie kann ich mich schützen?

Dienstag, 20. Januar 2009

Wie Schütze ich mir vor diesem Wurm?

– einen Virenscanner mit aktueller Virusdefinitionsdatei
– im Microsoft Windows Betriebssystem immer die neusten Updates einspielen
– ein alternatives Betriebssystem benutzen (z.b. Linux oder Mac)

Übersicht

Type
Virus
SubType
Worm
Discovery Date
11/24/2008
Length
58,368 bytes
Minimum DAT
5444 (11/24/2008)
Updated DAT
5493 (01/12/2009)
Minimum Engine
5.2.00
Description Added
11/24/2008
Description Modified
01/06/2009 5:53 AM (PT)

Charakteristiken?

When executed, the worm copies itself using a random name to the %Sysdir% folder.

(Where %Sysdir% is the Windows system folder; e.g. C:\Windows\System32)

It modifies the following registry key to create a randomly-named service on the affected syetem:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\Parameters\”ServiceDll” = “Path to worm”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs

Attempts connections to one or more of the following websites to obtain the public ip address of the affected computer.
hxxp://www.getmyip.org
hxxp://getmyip.co.uk
hxxp://checkip.dyndns.org
hxxp://whatsmyipaddress.com

Attempts to download a malware file from the remote website: (Rogue Russian site is up but not serving file anymore)
hxxp://trafficconverter.biz/[Removed]antispyware/[Removed].exe

Starts a HTTP server on a random port on the infected machine to host a copy of the worm.

Continuously scans the subnet of the infected host for vulnerable machines and executes the exploit. If the exploit is successful, the remote computer will then connect back to the http server and download a copy of the worm.

Later variants of w32/Conficker.worm are using scheduled tasks and Autorun.inf file to replicate on to non vulnerable systems or to reinfect previously infected systems after they have been cleaned.

Symptome:

This symptoms of this detection are the files, registry, and network communication referenced in the characteristics section.

Users being locked out of directory

Access to admin shares denied

Scheduled tasks being created

Access to security related web sites is blocked.

Wie kann ich nach einer Infektion den Wurm beseitigen?

– Offline Scan mit Knoppicillin
– alternativ Offline Scan mit Antivir Rescue System