Einen schönen Abend allerseits,
ich dachte mir es wäre mal an der Zeit hier einen Confi cker-Threat einzurichten, hoffentlich überflüssigerweise.
Zunächstmal:
Was ist Confi cker?
Confi cker ist ein Wurm der bisher (09.04.09) in 4 Verschiedenen Varianten ("Evolutionstufen") aufgetreten ist. Es befällt ausschließlich Windows Systeme über eine Sicherheitslücke im Serverdienst. Die Sicherheitslücke wurde bereits im November 08 per Update geschlossen.
Während Variante A relativ harmlos ist, sich nur übers Internet verbreitet und keine Updates nachlädt, verbreiten sich die Varianten B,C und E auch über Netzwerke und Wechseldatenträger, außerdem updaten sie sich und laden weiteren Schadcode nach (Ver. E)
Was tut Confi cker:
Nun zunächst einmal recht wenig, außer da zu sein und einige Sicherheitsfunktionen zu deaktivieren, wie Firewalls und Virenscanner-Updates. Außerdem wird der Zugriff auf einige Internetseiten mit Informationen zu Confi cker geblockt.
Auch Benutzerkonten sind schon von Conflicker gesperrt worden.
Die größe Gefahr geht aber von der Möglichkeit aus, dass der Wurm Schadcode nachladen kann und so u.a. auch die Kontrolle über den Rechner erlangen kann. Experten rechnen damit, dass ein P2P basiertes Bot-Netzwerkaufgebaut werden soll.
Auf Heise.de gibt es einen Schnelltest für die Varianten B und C.:
Heise-Schnelltest (http://tinyurl.com/d2w5jq)
Weitere Informationen gibt es neben Heise auch bei der Confi cker Working Group:
Confi cker Working Group (http://tinyurl.com/chah33)
So, wie siehts aus: seit ihr infiziert? Habt ihr weitere Infos, oder Korrekturen/Ergänzungen?
Edit:
thx an Nemesis für die Tiny-URLs
Links funktionieren nicht.
Hier nochmal ein Schnelltest, den Tyco im anderen Thread gepostet hat.
http://iv.cs.uni-bonn.de/fileadmin/user_upload/leder/cfdetector/ (http://iv.cs.uni-bonn.de/fileadmin/user_upload/leder/cfdetector/)
Zitat von: J.C. am 09. April 2009, 21:15:34 Uhr
http://www.confi**erworkinggroup.org
haha. FAIL.
da das wort confi cker in der url vorkommt können die leute, die sich sowas eingefangen haben
die seiten garnicht aufrufen. ;D :ohje:
tolle workinggroup! ;)
es gibt schon einen Thread dazu? Oo
und äh..ja die Links funktionieren nicht, weil "fi ck" drin vorkommt und der Bot meint, das wär ne Schweinerei.
Zu der Websitesperre hab ich noch n Tipp von Heise:
Zitieren
Zugriffssperre umgehen: Confi**er blockiert den Zugriff auf bestimmte Webseiten. Sie können diese Sperre umgehen, indem Sie im Startmenü unter "Ausführen" folgenden Befehl eingeben:
NET STOP DNSCACHE
Zitat von: J.C. am 09. April 2009, 22:08:45 Uhr
und äh..ja die Links funktionieren nicht, weil "fi ck" drin vorkommt und der Bot meint, das wär ne Schweinerei.
http://tinyurl.com/d2w5jq
http://tinyurl.com/chah33
Irgendwie ist die workinggroup aber grade nicht erreichbar... ::)
geht wieder
thx, Nemesis für die Tiny-URLs ;D
huch, es gibt ja tatsächlich von tyco schon einen Thread zu dem Thema.
T'schuldigung, ich wollte dich damit nicht übergehen oder sonst was. Ich hab einfach nicht gewusst dass der existiert. - Ja ich hätte natürlich vorher gucken können, aber da ich mehrmals täglich hier auf den "alle neue Beiträge-Link" klicke, dachte ich ich wüsste auch so worüber hier so geredet wird... - das war wohl ein Irrtum, hm ???
Gern geschehen :)
Hier sind auch nochmal ein paar Hintergrundinformationen:
Trend Micro entdeckt neue Confi¢ker-Variante (http://tinyurl.com/cwj8oq)
Sophos warnt vor falschen Confi¢ker-Entfernungstools (http://tinyurl.com/deop8a)