mboost-dp1

SXC - clix

Confickers akilleshæl er fundet

- Via The Register - , redigeret af Emil

Den meget udbredte Conficker-virus, der findes i flere varianter, har voldt computerejere og administratorer mange problemer verden over. Ikke mindst den seneste variant, Conficker.C, der er tidsindstillet til at aktivere den 1. april, har været svær at detektere.

Det er netop mht. detekteringen af Conficker, der nu er opnået et gennembrud. Sikkerhedseksperter har fundet ud af, at alle kendte varianter af virusset har et helt unikt “fingeraftryk”, der kan genkendes ved en netværksscanning.

Eksperterne har allerede været i kontakt med flere producenter af scannersoftware, som Nmap, McAfee og Tenable Network Security, der har lovet omgående at lave opdaterede versioner, som kan finde Conficker-inficerede computere.

Ingen er helt sikre på, hvad der vil ske den 1. april, når Conficker.C aktiveres, men håbet er nu, at de fleste inficerede computere kan findes og neutraliseres inden.





Gå til bund
Gravatar #1 - Thorun
30. mar. 2009 14:38
Kan man ikke bare sætte computerens dato frem til d. 1. april og så få det tjekket på en eller anden computer?

Synes jeg har hørt om lignende 1. aprils vira for lææænge siden der angiveligt skulle lave en format c: kommando eller noget i den stil.

Hvor længe har Confickr.C været på "markedet"? taler vi om dage, måneder, år?
Gravatar #2 - cordion
30. mar. 2009 14:43
ih hvor jeg elsker 1. april...
Gravatar #3 - Erroneus
30. mar. 2009 15:01
#1 Nej conficker.c bruger ikke systemuret til at findes dens dato, men en masse forskellig hjemmesider.

Conficker.c har vist været kendt siden engang i februar.
Gravatar #4 - Seth-Enoch
30. mar. 2009 15:20
Så har Microsoft jo lige nøjagtig 30timer til at udgive en update til deres Malicious Software Removal Tool som man kan hente over windows-update.
Gravatar #5 - Decipher
30. mar. 2009 16:16
Fat chance :P
Gravatar #6 - bjerh
30. mar. 2009 16:16
Right.. Så er det tid til at synkronisere. Holder bare en af mine maskiner slukket imorgen så! :D
Gravatar #7 - vortex
30. mar. 2009 16:28
bjerh (6) skrev:
Right.. Så er det tid til at synkronisere. Holder bare en af mine maskiner slukket imorgen så! :D


Ville det ikke være bedre at lade den være slukket onsdag d. 1 april så? :D
Gravatar #8 - slartie
30. mar. 2009 16:28
Conficker har været i omløb siden engang i 2008.

Conficker.A blev fundet 21. November 2008.
Conficker.B blev fundet 29. December 2008.

Microsofts MSRT (Malicious Software Removal Tool) blev opdateret til at kunne finde og neutralisere .A og .B 13. Januar 2009.

Conficker.C blev fundet 20. Februar 2009.
Conficker.D blev fundet 4. Marts 2009.

Om der kommer flere, må tiden jo vise, men sådan ser det ud indtil videre.
Gravatar #9 - bjerh
30. mar. 2009 16:30
#7... Hah.. jo okay Det kan der være noget om! :D
Gravatar #10 - Mukke
30. mar. 2009 16:55
*Suk*

Inden folk går i total panik og smider computeren i fryseren 1. april, så kan man med fordel læse http://www.f-secure.com/weblog/archives/00001636.h... som skrives af antivirus researchers fra F-Secure.

Et par citater

Q: I heard something really bad is going to happen on the Internet on April 1st! Will it?
A: No, not really.
(...)
Q: So, what will it do on April 1st?
A: So far, Conficker has been polling 250 different domain names every day to download and run an update program. On April 1st, the latest version of Conficker will start to poll 500 out of 50,000 domains a day to do the same thing.
(...)
Q: But doesn't that mean that if the bad guys wanted to run something on those machines, they don't need to wait for April 1st?
A: Yes! Which is another reason why it's unlikely anything major will happen on April 1st.
Gravatar #11 - Schrum
30. mar. 2009 17:23
Det eneste virussen sikkert gør er at starte med at sige: "OMG FORMAT:C NOW!!!" og så vælter det bare ud med Rick Astley i højttalerne...
Gravatar #12 - Abech
30. mar. 2009 17:24
#11

Det kunne fandeme være grineren.
Gravatar #13 - b4@
30. mar. 2009 17:35
#12 specielt hvis der er et eller andet indkøbscenters computere som er inficeret.

*Skriver i min notes bog at jeg skal lytte efter Rick Astley på Ros Torv*
Gravatar #14 - spiral
30. mar. 2009 18:21
Kan man ikke bar stille computerens dato tilbage til 1 marts også undgår man at virusen bliver aktiveret den 1 april, plus så har man masse af tid til at fjerne virusen!
Hvor svært kan det være?
Gravatar #15 - Morfar_Toast
30. mar. 2009 18:46
14#
Hvis det var så simpelt, ville der nok være nogen der havde gjort det.
+ Et spørgsmål magen til dit allerede er blevet stillet og besvaret. Se toppen af kommenateren.
Gravatar #16 - Phr4gG3r
30. mar. 2009 18:58
#14, læs nummer #3's svar..

EDITH: Hov, havde ikke lige set nummer #15.. Sorry
Gravatar #17 - x_Fi
30. mar. 2009 19:44
Hmm.. 1. april..

Er jeg den eneste der tænker aprilsnar?
Gravatar #18 - zymes
30. mar. 2009 19:45
Den første april? Mon ikk bare der kommer en popup med "DET GAASSSSS! YESSIR!"?
Gravatar #19 - Erroneus
30. mar. 2009 20:01
Og på doxpara kan man nu finde et lille værktøj der klarer scanningen eller et script til nmap, http://www.doxpara.com/ :)
Gravatar #20 - ToFFo
30. mar. 2009 20:45
Ingen er helt sikre på, hvad der vil ske den 1. april, når Conficker.C aktiveres


Ikke det?

Jeg googlede mig frem til det her
http://www.ca.com/securityadvisor/virusinfo/virus....
Gravatar #21 - DrHouseDK
30. mar. 2009 20:53
Jeg håber da næsten jeg har ormen, da den så kan rydde op i de forbandede restore points der ikke er til at få slettet. "Rigtige mænd tager ikke backup!"

Deletes Restore Points
Conficker resets all system restore points and deletes any saved system restore points on the affected system

- sakset fra http://www.ca.com/securityadvisor/virusinfo/virus....
Gravatar #22 - Erroneus
30. mar. 2009 22:05
#20 Der ligger pt. ikke noget noget indhold (kommandoer) på de domæner og derfor ved man ikke hvad der kommer til ske, samt hvornår der kommer til at ske noget.
Gravatar #23 - LordMike
31. mar. 2009 07:11
#4 + flere
Denne orm er jo rimeligt skræmmende.
Som der står på http://www.ca.com/securityadvisor/virusinfo/virus.... så lukker den for al opdatering af windows (MSRT ville ikke hjælpe Hr. og Fru. Hansen).

Ormen lader til at være rimeligt godt designet. Den lukker for diverse programmer, heriblandt "downad" (DownAdup ormen?), og lukker for en masse sikkerheds services.

Den laver 4 kopier af sig selv, konstant. Den sørger for at mindst én af dem kører altid, ved at lave en global mutex (Sørger for at kun én kører).

Ormen er gemmenkørt. Den virker, og den er grusom.
Hvordan den spreder sig er mig et mysterie. Hullerne burde vel være lukket.
Gravatar #24 - Bliz0r
31. mar. 2009 08:48
Denne worm er en bugger, har bøvlet med den på arbejde hvor samtlige windows maskiner + windows servere blev infected.

Er faktisk først lige blevet færdig idag med at fjerne den fra vores maskiner, det var en slem omgang overarbejde. I vores tilfælde har en af vores arbejdestationer fået skidtet indenbords, også spredt sig via vores netværksdrev, hvorefter helvede brød løs.

Den er et helvede at få fjernet.
Gravatar #25 - Erroneus
31. mar. 2009 09:41
#23 Hvis en maskine er patched med KB958644 (som har været ude i lang tid) så kommer den ikke ind, MEDMINDRE man har et svagt password på administrator kontoen på maskinen eller f.eks. en netværks admin har svagt password, så udnytter den det.

Nå ja plus spredning via USB nøgler, hvor den laver en autorun der ligner man åbner indholdet af usb key'en, men i stedet for installere den sig selv på maskinen hvor USB nøglen er sat i, så lang tid brugeren er admin.
Gravatar #26 - mille
31. mar. 2009 10:00
Skal vi ikke lige slå fast, at det igen igen er en Windows virus....

Så jeg surfer videre som jeg plejer *GG*
Gravatar #27 - Tumleren
31. mar. 2009 11:22
skipperskip (26) skrev:
Skal vi ikke lige slå fast, at det igen igen er en Windows virus....

Så jeg surfer videre som jeg plejer *GG*


Det gør du bare - Så spiller jeg en masse fantastiske spil imens; det kan jeg jo
Gravatar #28 - Slettet Bruger [1099848439]
1. apr. 2009 08:04
Nå, var det en Aprilsnar så? ^^ syntes ikke jeg har set noget endnu.
Gravatar #29 - brostenen
1. apr. 2009 08:50
#27
Nu kunne det jo også tænkes at manden har en konsol...
Og bruger sin computer udelukkende til produktive opgaver.
Gravatar #30 - brostenen
1. apr. 2009 08:52
#28
Yup... Måske...
Jeg har heller ikke oplevet noget, selv om min kærestes var inficeret... Den blev lige renset i går aftes omkring 23..
Gravatar #31 - Krischard ApS
2. apr. 2009 09:15
Tumleren (27) skrev:
skipperskip (26) skrev:
Skal vi ikke lige slå fast, at det igen igen er en Windows virus....

Så jeg surfer videre som jeg plejer *GG*


Det gør du bare - Så spiller jeg en masse fantastiske spil imens; det kan jeg jo


Altså... Hvis din computer kunne køre nogen spil
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login