|
kritische Sicherheitslücke -> Wurm Ausbruch Der Netzwerk-Wurm Kido breitet sich in diesen Stunden aus. Er nutzt eine Sicherherheitslücke die bisher nicht automatisch geschlossen wurde. Infos zum Wurm Hotfix für alle Plattformen |
Danke für die Info |
IMHO ist das Ding bekannter unter dem Alias "Conficker". Vielleicht sollte man das ergänzen. ;) |
Ach ja, die SPON-Leser :D |
Ist doch schon lange bekannt :) Denen, die es immer noch nicht geschafft haben zu patchen, gehört sowieso eine auf den -> :twak: http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst -23.10.2008 http://www.heise.de/security/Windows-Wurm-nimmt-an-Fahrt-auf-27.11.2008 |
Ich habe mal den aktuelle Spiegelartikel hier rein gestellt WARNUNG DES INNENMINISTERIUMS Cyber-Verbrecher rüsten auf Rasant breiten sich Computerschädlinge wie "Conficker" aus - so schnell, dass jetzt erstmals das Innenministerium Alarm schlägt. Online-Kriminelle gehen immer professioneller vor, arbeiten profitorientiert, operieren international. Und sie nutzen ähnliche Strukturen wie das organisierte Verbrechen. weiter auf spiegel.de Warnung des Innenministeriums: Cyber-Verbrecher rüsten auf - SPIEGEL ONLINE - Nachrichten - Wirtschaft Conficker infiziert zehn Millionen Computer Der Wurm Conficker breitet sich rasend schnell in Firmennetzwerken aus. Er tritt in immer neuen Verkleidungen auf - das macht ihn besonders heimtückisch. Ein besonders trickreicher Computerschädling breitet sich mit rasender Geschwindigkeit in Firmennetzwerken aus. Der Conficker, Downadup oder Kido genannte Computerwurm wird nicht nur über infizierte E-Mails eingeschleppt, sondern vor allem über USB-Sticks und Laptops. Betroffen sind weltweit bereits neun bis zehn Millionen Computer mit Windows-Betriebssystem, vor wenigen Tagen waren es noch drei Millionen. Windows-Hersteller Microsoft hatte zwar schon im Oktober eine Reparatursoftware bereitgestellt. Doch viele Systemverwalter legten keine besondere Eile an den Tag, weshalb auch Roger Halbheer, Microsofts Sicherheitschef für Europa, den Experten vorwarf, sie spielten russisches Roulette. Systemverwalter müssen allerdings die Updates immer erst darauf prüfen, ob sie sich mit der im Haus verwendeten Software vertragen. (...) Auf befallenen Computern hängt sich der Wurm an die Windows-Prozesse svchost.exe, explorer.exe und services.exe. Er setzt außerdem eine Reihe von Sicherheitsoptionen außer Kraft, unter anderem die automatische Update-Funktion von Windows, den Windows Defender und den Fehler-Benachrichtigungsdienst und versucht, den Zugriff auf die Internetseiten von Anbietern von Antivirensoftware zu unterbinden. Aktuelle Antivirenprogramme erkennen den Wurm inzwischen. Dazu muss ein kompletter Scan über alle Dateien gemacht werden, was einige Stunden dauern kann. Microsoft gibt auf seiner Internetseite Tipps, wie man seinen Rechner wieder sauber bekommt. weiter auf sueddeutsche.de http://www.sueddeutsche.de/,tt5m1/co...7/455184/text/ |
Zitat:
Zitat:
Na klar, es ist alles schon mal dagewesen. :rolleyes: Neu ist aber, dass angeregt durch die Meldung, Conficker habe bereits 9 Mio. Systeme infiziert, Nicht-"Fach"-Medien eine Wurm-Flut an die Wand malen, ob zu Recht oder Unrecht, sei dahingestellt. In einem "Alles rund um Windows"-Unterforum sollte man das ja mal erwähnen können. |
Zitat:
Microsoft Security Bulletin Summary for October 2008 |
Zitat:
Zitat:
Weder herrscht Einigkeit über die Anzahl der Infektionen (man munkelt 500.000 bis 10.000.000 - dazwischen ist viel Platz für Panikmache) noch hat man derzeit großartig Ahnung was das Ding überhaupt will und was es wirklich kann wenn es denn weiß was es will. Wer sein System auf dem neusten Stand hält, sollte auch mit Conficker keine größeren Probleme haben. Alle anderen setzen sich sowieso einem erhöhten Risiko aus (und beten, dass der gecrackte Virenscanner das Ding schon schaukeln wird). Marc |
Zitat:
Ich muss noch was schreiben dass ich posten kann... |
Nur um auf`m Laufenden zu bleiben. CONFICKER/DOWNADUP Fachleute befürchten 50 Millionen verseuchte Rechner Bisher hat der Conficker-Wurm nicht mehr getan, als sich zu vermehren. Das aber kann er so gut, dass die Warnungen davor immer schriller werden: Eine Epidemie sei das, der größte PC-Virenbefall seit Jahren. Weil er auch einer der unnötigsten ist, gerät einmal mehr Microsoft in die Kritik. Conficker/Downadup: Fachleute befürchten 50 Millionen verseuchte Rechner - SPIEGEL ONLINE - Nachrichten - Netzwelt |
Where is Downadup? - F-Secure Weblog : News from the Lab As time passes, the number of estimated Downadup infections becomes more problematic to calculate as we are monitoring a varying number of domains. Re-infections may also be inflating the count. In any case, today seems better than the day before and we think that growth of Downadup has been curbed. Disinfection of the worm remains a challenge. So let's look at Thursday's IP count, where are the infected computers? Our sinkhole logged just over one million unique IP addresses yesterday. This is compared to 350,000 last Friday. Remember, there may be any number of computers sitting behind a single IP address. China, Russia, and Brazil have the highest IP count. Combined, they account for nearly 41 percent of the total. Only a bit over 1 percent came from the United States… Here's the breakdown by country: Number of IPs Registered Country of the IP 1388 Sweden 1394 Peru 1555 Yemen 1669 Canada 1723 Hong Kong 1803 Czech Republic 1906 Sri Lanka 2178 Croatia 2179 Austria 2249 Moldova 2486 Lithuania 2839 Ecuador 2971 Slovakia 3127 Bosnia and Herzegovina 3269 Jordan 3451 Vietnam 4310 Portugal 4423 Saudi Arabia 4666 Spain 4895 Japan 5572 Iran 5763 Republic of Macedonia 6758 Poland 6822 Hungary 6900 Bulgaria 7857 United Kingdom 7973 Pakistan 8088 France 8328 Turkey 10249 Venezuela 10527 Mexico 10683 .EU 11779 United States (1.17%) 12629 Kazakhstan 14785 Colombia 15697 Germany 16154 Taiwan 16924 Philippines 17285 Malaysia 17312 Thailand 17322 Chile 21263 Indonesia 36070 Argentina 39156 Romania 39712 Italy 39731 South Korea 63939 Ukraine 64035 India 120197 Brazil (11.9%) 139934 Russia (13.9%) 152016 China (15.1%) 1005941 |
Ich bin gerade etwas irritiert. Ich habe es im Moment mit einer Conficker-Infektion zu tun und keines der Removal-Tools schlägt an. Grund hierfür ist, dass die hier* gefundene Variante einen Rootkittreiber mitbringt. Allerdings hilft es auch nicht, den Rootkittreiber per Wiederherstellungskonsole zu entsorgen. Nach Booten der Windowsinstallation und einem Check mit gmer ist der Treiber wieder aktiv. Er scheint also noch irgendwie abgesichert zu sein. Wir werden heute vllt avira kontaktieren, denen den Treiber zusenden und u.U. eine etwas weiterführende Antwort bekommen. Marc * nein, nicht auf meinem Privatrechner |
Hi, MBAM wäre noch ein Versuch wert, die haben auf jeden Fall auch Signaturen für Conficker und sollten daher in der Lage sein, den zu erkennen und die Jungs sind bei Rootkits generell ganz gut dabei. :) Wird der Treiber auch wiederhergestellt, wenn ihr in den abgesicherten Modus wechselt? Ist nur der Schlüssel versteckt, oder auch die Datei? Ich weiß im Moment nicht wie das bei Windows ist: Wann werden die CurrentControlSet /Controlset1/etc Schlüssel abgeglichen? Evtl wird der Eintrag ja auch von Windows wieder hergestellt? Wie sieht das Rootkit aus? Blockt es Sicherheitsprogramme? Ansonsten könnte man mal ne RSIT-Loganalyse machen und versuchen die gröbsten Dateien mit Avenger/CF zu löschen. lg myrtille, die zum ursprünglichen Thema doch nochmal auf diesen festgetackerten Thread Außerplanmäßiges Windowsupdate hier im Unterforum hinweisen will. Das Update haben wir Ende Oktober nicht umsonst empfohlen. :blabla: |
Der klinkt sich in einige API Funktionen ein. Da würde ich es evtl. mit IceSword versuchen. Hast du denn Zugriff auf den Rechner oder nur auf die logs? Mir ist da grade nochwas eingefallen. (Wenn du das alles schon weisst bitte ich das zu entschuldigen aber ich will nur helfen.. ;) ) Und zwar meine ich gelesen zu haben, ich suche grade, dass der Wurm in einigen Varianten auch legitime Systemtreiber befällt wie denn beep.sys und sich so wiederherstellt. |
In der Schule meiner Freundin ist das Netzwerk befallen. Angeblich "conficker" ->TR. recycleboot.exe", zumindest so ähnlich. So meinten die Lehrer dort (also unter vorbehalt)... Ich habe ka. ob das der conficker ist, aber die Verseuchung der Schulrechner ist wohl extrem. Man kann sich vorstellen welche Folgen das hat für die Privatrechner der Schüler, beim sorglosen Umgang mit den USB-sticks.... Ich hab den Zuhause noch gelöscht bekommen...., als meine Freundin nen Stick dabei hatte (für ihren Laptop). Antivir schlug sofort an. gmer etc. findet auch ncihts... Problem in der Schule ist wohl, dass die das System nicht auf dem neusten Stand haben und es nicht möglich ist Antivirupdates zu machen. |
Zitat:
Was da alles als regelrechte Epidemien durchläuft ist echt der Wahnsinn. |
Zitat:
Das einzige wobei wir uns bis dato sicher sind ist, dass Conficker nicht über den Server eingefallen ist - zumindest lässt sich im Gegensatz zu den Clients keine Spur einer Infektion finden. Hätten wir nicht auf zehn Clients eine Spezialanwendung laufen, deren Installation höchst diffzil ist, würde ich dem Admin raten sofort aufzusetzen. Da wir die Anwendung aber bis nächsten Mittwoch unbedingt benötigen und hier im Haus keiner weiß wie sie installiert wird, werden wir wohl noch alles versuchen. Marc |
Zitat:
Angeblich soll man den recycleboot auf dem Mac löschen können. (Auf den Windows-Rechnern scheint das Ding unsichtbar zu sein.) Wenn er dann am Windows-Rechner wieder erscheint hat man zumindest die gewissheit das er drauf ist^^. |
Zitat:
Bei uns trifft gerade ein Silberstreif auf die Netzhaut (ein Dankeschön an myrtille für den Hinweis mit MBAM). Wir haben jetzt zwei Teile des Puzzles: 1. Ein Diensteintrag einer DLL (system32-Verzeichnis) 2. Eine GIF-Datei im Verzeichnis Code: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5Mal schauen, ob wir nun ein System retten können. Marc |
Kurz zur Info: MBAM hat die Schaddateien gefunden und - nach bisherigem Kenntnisstand - auch erfolgreich gelöscht, was bedeutet, dass ich morgen pünktlich um 18:30 beim Friseur sein kann, während der Administrator die Reste des Gemetzels beseitigt. :juul: Noch ein Hinweis: Ein nicht gepatchter Rechner ist in einem kompromittierten Netzwerk sofort (< 1 min) infiziert. Marc |
Denkt an die Netzwerkordner und die USB-Dateien (in beiden befinden sich autorun.inf, die die restlichen Rechner infizieren), daher wäre wahrscheinlich auch der Befall bei gepatchten Rechnern früher oder später erfolgt. Eventuell für die nächste Zeit Autorun (externe medien und vor allem netzwerkordner) deaktivieren... wenn ihr nicht über die Schwachstelle infiziert worden seid, dann war es jemand per USB-Stick... und der Rechner ist sicherlich weiterhin infiziert. Und dann könnt ihr in einer Woche von vorne anfangen... lg myrtille |
Zitat:
Schule mit 70Pc`s in x<=1min befallen..und ca. 1200 Schülern... |
|
Für Administratoren kleiner Unternehmsnetzwerke (hier < 50 XP-Clients): Ich möchte an dieser Stelle kurz beschreiben wie wir mit conficker umgegangen sind. Dies ist aber nur eine vorübergehende Lösung, da in einem Unternehmensnetzwerk das rumdoktern an einer derart großflächigen Infektion keine endgültige Lösung sein kann. 1.) Clients vom Netzwerk trennen Wir haben die Clients direkt an den Switches gekappt. Hat den Vorteil, dass man nicht durchs Haus rennen muss. In Haushalten kann man das einfach am Router erledigen. Trennt man die Rechner nicht vom Netz, versuchen die Clients sich auf allen möglichen anderen Rechnern (Clients und Servern) sich mit dem Usern "Administrator" und dem aktuell angemeldeten User anzumelden (mit über 10 Loginversuchen pro Sekunde). Dieses Störfeuer deaktiviert sämtliche Benutzerkonten auf am dem Domänencontroller und die Eventlogs laufen voll, so dass sich ohne Administratoreingriff auch niemand mehr anmelden kann. 2.) Patchen aller Rechner Per CD (autorun.inf) haben wir allen aktuellen Patches eingespielt (ein Fehler im Updateserver und fehlende Kontrolle durch den Admin hatten zu einem nicht aktuellen Patchstabnd geführt). MBAM wurde gleich mitinstalliert. 3.) MBAM updaten Die zu aktualisierenden Clients haben wir wieder temporär an Netz genommen und versucht MBAM mit den neuesten Signaturen zu versorgen. Die hat in etwa 30% aller Fälle nicht geklappt. Die ist bedingt durch die URL-Filterung von conficker (die aber nicht immer aktiv zu sein scheint). Es ist nicht ein "umgepolter" DNS-Servereintrag sondern die Filterung findet auf dem Client statt. Die aktualisierten Clients wurden wieder vomNetz genommen. 4.) Scan und Bereinung mit MBAM MBAM wurde mit der Option "vollständiger Scan" über alle Laufwerke gestartet. Zwei Funde waren typisch: Eine Bilddatei im Verzeichnis Code: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet FilesCode: C:\WINDOWS\system32Neustart und nochmaliger Scan. Bei Rechnern bei denen ein Onlineupdate von MBAM nicht möglich war, mussten wir die Platte ausbauen und in separaten Rechern mit aktuellen MBAM scannen und bereinigen. Das Updatepaket zum manuellen Aktualisieren von MBAM ist nicht aktuell genug gewesen (erst ab Version 1705 ist eine Bereinigung möglich). 5.) Hinweis Nimmt man die Clients nicht vom Netz und versucht einen Bereinigung kann man Sisyphos einen Gruß ausrichten. Das Patchen vor der bereinigung bewahrt ebenfalls vor unnötigen Mehrfachbereinigungen. Sämtliche USB-Sticks und Festplatten müssen im Anschluss an die Aktion ebenfalls überprüft werden. In einem Unternehmensnetzwerk sollte die Vorgehensweise nur angewandt werden um kurzfristig den Betrieb sicherzustellen, wenn vorher keine ausreichenden Maßnahmen für so einen Fall getroffen wurden. Wir werden alle betroffenen Rechner nach und nach neuaufsetzen. Weiterhin möchte ich anmerken, das zwei von unserer etwas hektisch agierenden geschäftleitung herbeigerufene externe Dienstleister uns nur Geld und zeit gekostet habe (aber diese Erfahrung haben wir nicht das erste Mal gemacht). Marc |
Zitat:
Zitat:
Gibt es diesen Admin noch? :D |
Wenn ihr Malwarebytes auf all euren Dienstrechnern laufen lasst, würden sich die Programmierer sicher freuen, falls ihr mal über die Corparate Version nachdenkt. ;) lg myrtille |
Zitat:
Marc PS: Schon wieder den Beitrag editiert :rolleyes: @myrtille: Wir haben MBAM nur temporär genutzt. Es ist eine schwierige Geschichte, denn man kann nicht jedes Mal wenn der "Hausscanner" versagt, die Lizenzen in die Tonne treten und zu einem anderen wechseln. Avira hat hier komplett versagt, aber wir wissen ja, dass dies jedem Scanner passieren kann. Ich tendiere eher dazu, das Netzwerk zu vernageln anstatt je nach Infektion oder Gefahrenlage den Scanner zu wechseln. Im Herbst laufen unsere Aviralizenzen aus und bis dahin wird das Thema sicherlich diskutiert werden, aber jetzt hops auf MBAM zu wechseln ist nicht zu vertreten (dem Chef auf die Finger zu hauen würde mehr Sicherheit ins Netzwerk bringen). |
Danke für die Info. |
Zitat:
Zitat:
|
Zitat:
Es gibt Situationen in denen man für sich keinen befriedigenden Lösungsansatz findet. Man sollte dann die Nase in den Wind hängen und schauen, ob man nicht woanders einen leckeren Braten riecht. |
Malwarebytes ist kein Antivirenscanner und sollte auch nicht alleine auf einem Rechner laufen. Die Jungs nehmen in der Regel nur Malware in die Database auf, die von vielen Antivirenscannern nicht gefundne werden. Sprich sind die Erkennungen von Malware bei VT gut, dann wird die Malware wahrscheinlich nicht in MBAM integriert. MBAM wäre also wenn überhaupt nur neben dem aktuellen AV-Scanner zu nutzen.... und da schlägt dann der Kostenfaktor zu, zum einen hab ich keine Ahnung was das kostet und zum anderen kommt mir der Verdacht, dass selbst kostenlos noch zu teuer sein könnte. :blabla: Wollte nur gesagt haben, dass ihr Avira für MBAM nicht in den Wind schießen müsst. ;) (und natürlich ist ein derartiger Aussetzer nicht unbedingt Grund für ein Wechsel..kein Scanner findet alles.) (Beim nächsten Problem könnt ihr gerne mich anrufen, ich lös Malwareprobleme und könnte das Geld gut brauchen. :blabla: Ich berechne auch nichts für die Anfahrt. :blabla: ) lg myrtille |
Um diesen Off-Topic-Ausflug zu einem Ende zu bringen: Ein besseres Sicherheitskonzept ist dringender als eine weitere Sicherheitssoftware. "Zusatzscanner" sind wohl erst dann sinnvoll, wenn man keine vernünftiges Konzept für das eigene Netzwerk auf die Reihe bekommt, denn wenn der Virenscanner noch durch ein anderes Programm ergänzt werden muss, sollte man vllt die Frage stellen, ob man nicht besser an den Grundlagen arbeitet anstatt noch einen Flicken draufzusetzen. Interessantes Diskussionsthema aber ich denke wir sollten dies an anderer Stelle fortführen. Marc PS: 1. Ohne Gewerbeanmeldung hätten wir Dich nicht ins Haus holen können 2. Was hätte das für ein Licht auf mich geworfen :D |
Na Prost Mahlzeit: Conficker-Wurm: Bundeswehr kämpft gegen Viren-Befall - SPIEGEL ONLINE - Nachrichten - Netzwelt Marc |
Um aufm neusten Stand zu bleiben! 14.02.2009 12:03 Uhr "Conficker" greift Bundeswehr an Die Bundeswehr kämpft mit dem besonders hartnäckigen Computervirus "Conficker" - mehrere hundert Rechner seien betroffen. Der Internetwurm "Conficker" hat die Bundeswehr infiziert. Es seien "mehrere hundert Computer verschiedener Dienststellen" betroffen, erklärte das Verteidigungsministeriums am Samstag in Berlin. Einzelne Dienststellen seien vom Bundeswehr-Netzwerk getrennt worden, um eine weitere Ausbreitung zu verhindern. "Conficker" setzt Sicherheitssysteme von Microsoft Windows außer Kraft und ist nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) weltweit auf Millionen Rechnern verbreitet. Wie ein Ministeriumssprecher erklärte, begann die Attacke am Donnerstag. Das für die Netzwerksicherheit zuständige Computer Emergency Response Team der Bundeswehr (CERTBw) und die BWI Informationstechnik GmbH hätten bereits Maßnahmen zur Entfernung der Schadsoftware und Wiederherstellung der vollen Funktionsfähigkeit der Computersysteme der Bundeswehr eingeleitet. Das BSI rät Computernutzern, ein bereits seit Oktober bereitstehendes Sicherheitsupdate von Microsoft zu installieren und sich mit einer Firewall sowie einem aktuellen Antivirenprogramm vor dem Wurm zu schützen. Das Amt rät zudem zu erhöhter Vorsicht beim Einsatz von Wechseldatenträgern wie USB-Sticks. Beim Anschließen eines Datenträgers wird laut BSI durch die Autorun-Funktion automatisch das darauf befindliche Schadprogramm gestartet und installiert. Quelle: http://www.sueddeutsche.de/,ra12m1/c...2/458355/text/ |
Zitat:
Admin A: "Du sollten wir vllt nicht doch mal den Patch einspielen?" Admin B: "Ach was, der Conficker greift uns nicht an. Der weiß doch ganz genau, dass dann der Bündnisfall eintritt. Das überlegt der sich garantiert zweimal!" Man muss schon froh sein, wenn es diese Leute beim Versuch ein System zu booten nicht der Länge nach hinschlägt. Marc |
Zitat:
ciao, andreas |
Zitat:
|
Microsoft hat ein Kopfgeld auf den Autor des Confickers ausgesetzt. 250.000 (rund 194.000 Euro). Quelle: Spiegel.de |
Ich benötige gar nicht viel Phantasie um mir vorzustellen, beim unten dargestellten Gebäude handele es sich um das gemeinsame Einsatzzentrum des Computer Emergency Response Team der Bundeswehr (CERTBw) und der BWI Informationstechnik GmbH. http://img25.imageshack.us/img25/806...tedcomprg1.jpg Marc |
VIREN-WELLE Conficker legt deutsche Hochschule lahm Der PC-Wurm Conficker macht seinem Ruf als hartnäckigster Schädling der letzten Jahre weiter Ehre: Kopfgeldern auf die Autoren und Allianzen von IT-Sicherheitsfirmen zum Trotz schießt er mit Vorliebe Netzwerke ab. Nach der Bundeswehr erwischte es nun eine Hochschule in Deutschland. Der Computer-Virus Conficker alias Downadup, der im Februar die Bundeswehr überrollte und für erhebliche Störungen sorgte, hat nun auch das Netzwerk einer Hochschule in Mecklenburg-Vorpommern erwischt und komplett lahm gelegt.... weiter auf: Viren-Welle: Conficker legt deutsche Hochschule lahm - SPIEGEL ONLINE - Nachrichten - Netzwelt |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board