Fout in Conficker toont welke pc's besmet zijn
Ook malwareschrijvers maken vergissingen
31 maart 2009 | Janneke Scheepers
Onderzoekers van het Duitse Honeynet Project hebben een tool ontwikkeld waarmee systeembeheerders op afstand kunnen scannen welke computers besmet zijn met de Conficker-worm.
Zoals bekend misbruikt de worm een kwetsbaarheid in Windows. Na infectie van een pc dicht Conficker dit Windows-lek af met een eigen pleister. Dat maakt het lastig om te detecteren welke computers over de legitieme Microsoft-patch voor het lek beschikken, en welke de valse Conficker-pleister geïnstalleerd hebben.
Snel detecteren
De Conficker-patch heeft echter een zwakke plek, ontdekten de onderzoekers van het Honeynet Project. Die kan worden gebruikt om alsnog onderscheid te zien tussen de legitiem gepatchte en de geïnfecteerde computers.
"Conficker verandert hoe Windows eruitziet op het netwerk", legt medeonderzoeker Dan Kaminsky uit op zijn blog. "Die verandering kan op afstand anoniem en heel erg snel worden gedetecteerd. Je kunt letterlijk aan een server vragen of deze is besmet met Conficker, en de machine zal het je zeggen."
Scanner
Kaminsky en de anderen van Honeynet Project ontdekten dit afgelopen vrijdag. Maandag hadden ze een proof-of-concept-scanner gereed als bewijs. De tool is geïntegreerd in de gratis Nmap-netwerkscanner en in scantools van bedrijven zoals Qualys, Ncircle en Tenable. De tools zijn ontworpen voor gebruik door netwerkbeheerders bij bedrijven, niet voor eindgebruikers.
C-variant
De Conficker-worm is er al sinds november. De nieuwste variant sluit beveiligingsdiensten af, blokkeert verbindingen naar beveiligingswebsites, dowloadt een trojan en verbindt met andere geïnfecteerde computers via P2P-technologie.
De zogenaamde C-variant van de worm bevat ook een lijst van vijftigduizend verschillende domeinen. Gevreesd wordt dat de malware die domeinen op 1 april gaat bezoeken voor nieuwe kopieën of instructies. Maar volgens experts zullen woensdag slechts vijfhonderd domeinen gescand worden voor updates.
Zelf detecteren
Een snelle manier om te zien of jouw computer is geïnfecteerd, is door te proberen de website van een belangrijke antivirusleverancier zoals McAfee of Symantec te bereiken. De worm zal die sites blokkeren. Verwijderen van de malware is mogelijk met tools van diverse antivirusbedrijven, zoals de McAfee Avert Stinger Conficker die wij aanbieden in onze downloadsectie.
Met een bijdrage van Elinor Mills
bron: ZDNet
Related Partner info »
Lees verder op ZDNet »
Aldi verkoopt schijven met Conficker-virus
Minder besmette computers in België
Nieuwe Conficker-variant duikt op
Conficker in de aanval
Elf procent niet beschermd tegen Conficker
Meer spam na Conficker-update
Conficker-worm inspireert tot scareware
Conficker-virus ontwaakt
Conficker-update blijkt anticlimax
Speciale scantool haalt Conficker-virus weg
Conficker blijft infecteren
Nieuw Conficker-virus in omloop
Opsporing Conficker-schrijvers 250.000 dollar waard
Conficker overmeestert Franse defensie
Conficker-virus legt Belgisch ziekenhuis plat
Nog meer op ZDNet »
vSphere licenties onder de loep
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
