Fout in Conficker toont welke pc's besmet zijn
Ook malwareschrijvers maken vergissingen
31 maart 2009 | Janneke Scheepers
Onderzoekers van het Duitse Honeynet Project hebben een tool ontwikkeld waarmee systeembeheerders op afstand kunnen scannen welke computers besmet zijn met de Conficker-worm.
Zoals bekend misbruikt de worm een kwetsbaarheid in Windows. Na infectie van een pc dicht Conficker dit Windows-lek af met een eigen pleister. Dat maakt het lastig om te detecteren welke computers over de legitieme Microsoft-patch voor het lek beschikken, en welke de valse Conficker-pleister geïnstalleerd hebben.
Snel detecteren
De Conficker-patch heeft echter een zwakke plek, ontdekten de onderzoekers van het Honeynet Project. Die kan worden gebruikt om alsnog onderscheid te zien tussen de legitiem gepatchte en de geïnfecteerde computers.
"Conficker verandert hoe Windows eruitziet op het netwerk", legt medeonderzoeker Dan Kaminsky uit op zijn blog. "Die verandering kan op afstand anoniem en heel erg snel worden gedetecteerd. Je kunt letterlijk aan een server vragen of deze is besmet met Conficker, en de machine zal het je zeggen."
Scanner
Kaminsky en de anderen van Honeynet Project ontdekten dit afgelopen vrijdag. Maandag hadden ze een proof-of-concept-scanner gereed als bewijs. De tool is geïntegreerd in de gratis Nmap-netwerkscanner en in scantools van bedrijven zoals Qualys, Ncircle en Tenable. De tools zijn ontworpen voor gebruik door netwerkbeheerders bij bedrijven, niet voor eindgebruikers.
C-variant
De Conficker-worm is er al sinds november. De nieuwste variant sluit beveiligingsdiensten af, blokkeert verbindingen naar beveiligingswebsites, dowloadt een trojan en verbindt met andere geïnfecteerde computers via P2P-technologie.
De zogenaamde C-variant van de worm bevat ook een lijst van vijftigduizend verschillende domeinen. Gevreesd wordt dat de malware die domeinen op 1 april gaat bezoeken voor nieuwe kopieën of instructies. Maar volgens experts zullen woensdag slechts vijfhonderd domeinen gescand worden voor updates.
Zelf detecteren
Een snelle manier om te zien of jouw computer is geïnfecteerd, is door te proberen de website van een belangrijke antivirusleverancier zoals McAfee of Symantec te bereiken. De worm zal die sites blokkeren. Verwijderen van de malware is mogelijk met tools van diverse antivirusbedrijven, zoals de McAfee Avert Stinger Conficker die wij aanbieden in onze downloadsectie.
Met een bijdrage van Elinor Mills
bron: ZDNet
Lees verder op ZDNet »
Aldi verkoopt schijven met Conficker-virus
Nieuwe Conficker-variant duikt op
Conficker in de aanval
Elf procent niet beschermd tegen Conficker
Meer spam na Conficker-update
Conficker-worm inspireert tot scareware
Conficker-virus ontwaakt
Conficker-update blijkt anticlimax
Speciale scantool haalt Conficker-virus weg
McAfee Avert Stinger Conficker 10.0.1.534
Conficker blijft infecteren
Nieuw Conficker-virus in omloop
Duits leger besmet met Conficker
Opsporing Conficker-schrijvers 250.000 dollar waard
Conficker overmeestert Franse defensie
Conficker-virus legt Belgisch ziekenhuis plat
Externe links »
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
