FireStats error : FireStats: Unknown commit strategy

scaryBITS

Ein Hauch von Sicherheit und Datenschutz im digitalen Alltag

Wurm: Conficker alias Downadup

Posted by Urs Meile on 19.01.2009

Epidemien sind selten geworden in einer Welt der geschlossenen Firewalls. Conficker schafft Epidemieherde dank einer raffinierten Kombination von Verbreitungsmethoden.

Am letzen Freitag Nachmittag meldete F-Secure einen Anstieg von 2.4 auf 9 Millionen infizierter Windows-Rechner. Das ist vielleicht etwas hoch gegriffen. Betroffen sind Maschinen, welche den im Oktober veröffentlichten Patch MS08-067 für eine Verletzlichkeit des Windows Server Service nicht eingespielt haben. Mit diesem Service werden Ordnerfreigaben (Shares) am Netz publiziert.

Weil der Wurm sich via Ordnerfreigaben und via USB-Sticks verbreitet, kann er mit einer Methode in eine nicht gepatchte Umgebung eindringen und sich mit der andern Methode effizient verbreiten. Bei den letzte Woche betroffenen österreichischen Spitälern könnte er mit einem USB Stick ins Spital und via Shares auf tausende von nicht gepatchten Rechnern gelangt sein.

In gut gepflegten Umgebungen besteht kein besonderes Risiko. Conficker alias Kido ist einfach eine von vielen Malwares, die auf gepatchten Maschinen keine Chance haben. Der Wurm verbreitet sich innerhalb eines riesigen globalen Pools, der aus Dutzenden von Millionen ungepatchter Windows XP Maschinen besteht. Besonders exponiert erscheinen ungepflegte Maschinen in Labors, KMUs und Heimnetzwerken, die via Shares ungeschützt miteinander verkehren.

Die Malware ist seit November bekannt und aktualisierte seriöse Virenschutzprogramme sollten mit der Keule hinter der Tür bereit stehen, um dem Herrn Kido aufs Haupt zu schlagen, wenn er in ein System einzudringen versucht. Wer ohne Patch und ohne aktuellen Virenschutz kalt erwischt wurde, bekommt von Symantec ein Removal-Tool angeboten.

Detaillierte Informationen zu Conficker finden sich auf den F-Secure Malware Information Pages. Wer nicht sicher ist, ob Windows Update auf seiner Maschine richtig funktioniert und der Patch MS08-067 installiert ist, checkt in der Liste installierter Updates MS958644 so ungefähr Ende Oktober 2008 (Vista: Control Panel / Windows Update / View update history. XP: Internet Explorer / Tools / Windows Update / Review your update History).

Ergänzung 20.1.09  TrendLabs weist auf eine weitere Verbreitungsmethode hin. Nachdem der Wurm in eine Umgebung eingedrungen ist, sucht er nach Servern und deren Konten, die er mit einer Passwortliste zu knacken versucht. Zurecht weist TrendLabs auf die Möglichkeit hin, auf Hosts den Autostart von eingebundenen Medien wegzuschalten.

Leave a Reply



XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>