Tweet

0

Fout in Conficker toont welke pc's besmet zijn

Ook malwareschrijvers maken vergissingen

Onderzoekers van het Duitse Honeynet Project hebben een tool ontwikkeld waarmee systeembeheerders op afstand kunnen scannen welke computers besmet zijn met de Conficker-worm.

Zoals bekend misbruikt de worm een kwetsbaarheid in Windows. Na infectie van een pc dicht Conficker dit Windows-lek af met een eigen pleister. Dat maakt het lastig om te detecteren welke computers over de legitieme Microsoft-patch voor het lek beschikken, en welke de valse Conficker-pleister geïnstalleerd hebben.

Snel detecteren
De Conficker-patch heeft echter een zwakke plek, ontdekten de onderzoekers van het Honeynet Project. Die kan worden gebruikt om alsnog onderscheid te zien tussen de legitiem gepatchte en de geïnfecteerde computers.

"Conficker verandert hoe Windows eruitziet op het netwerk", legt medeonderzoeker Dan Kaminsky uit op zijn blog. "Die verandering kan op afstand anoniem en heel erg snel worden gedetecteerd. Je kunt letterlijk aan een server vragen of deze is besmet met Conficker, en de machine zal het je zeggen."

Scanner
Kaminsky en de anderen van Honeynet Project ontdekten dit afgelopen vrijdag. Maandag hadden ze een proof-of-concept-scanner gereed als bewijs. De tool is geïntegreerd in de gratis Nmap-netwerkscanner en in scantools van bedrijven zoals Qualys, Ncircle en Tenable. De tools zijn ontworpen voor gebruik door netwerkbeheerders bij bedrijven, niet voor eindgebruikers.

C-variant
De Conficker-worm is er al sinds november. De nieuwste variant sluit beveiligingsdiensten af, blokkeert verbindingen naar beveiligingswebsites, dowloadt een trojan en verbindt met andere geïnfecteerde computers via P2P-technologie.

De zogenaamde C-variant van de worm bevat ook een lijst van vijftigduizend verschillende domeinen. Gevreesd wordt dat de malware die domeinen op 1 april gaat bezoeken voor nieuwe kopieën of instructies. Maar volgens experts zullen woensdag slechts vijfhonderd domeinen gescand worden voor updates.

Zelf detecteren
Een snelle manier om te zien of jouw computer is geïnfecteerd, is door te proberen de website van een belangrijke antivirusleverancier zoals McAfee of Symantec te bereiken. De worm zal die sites blokkeren. Verwijderen van de malware is mogelijk met tools van diverse antivirusbedrijven, zoals de McAfee Avert Stinger Conficker die wij aanbieden in onze downloadsectie.

Met een bijdrage van Elinor Mills

bron: ZDNet