conficker – nodch.de

Conficker lädt Update von C auf E

Donnerstag 9th April 2009Donnerstag 9th April 2009Ben Peter

Nun ist er doch aktiv – Conficker.C nutz seine Update Funktion und verwandelt sich in Conficker.E, jedoch nicht wie erwartet mittels Download über eine der vielen angefragten Webseiten, sondern durch die integrierte P2P Funktionalität. Die Hersteller von Anti Viren Lösungen versuchen sich gerade einen Reim darauf zu machen, denn die heruntergeladene Datei (484528750.exe) steht in Verbindung zum Waledac Botnetz und wird von den Herstellern schon lange erkannt.

Die neue Variante deaktiviert sich zum 3. Mai, ob sie sich vorher ein erneutes Update zieht ist unklar. Unternehmen und Firewallbesitzer sollte die P2P Schnittstelle keine Sorgen bereiten, denn Port 5114 ist im regelfall ohnehin deaktiviert. Da die Windows Skriptinglücke die einzig verbliebene Infizierungsquelle ist, reicht ein Update um Ruhe vor dem Wurm zu haben.

Ob man schon infiziert ist kann weiterhin mittels Eyechart-Test überprüft werden, zur Desinfektion helfen die Tools der AV Hersteller, oder Microsofts Removal Tool, welches sehr zuverlässig laufen soll.

via: heise online

Ist mein PC Conficker verseucht?

Mittwoch 1st April 2009Freitag 29th April 2011Ben Peter

Joe Stewart hat einen simplen Schnelltest online gestellt, mit dem man sehen kann ob man potenziell vom Conficker befallen ist. Da die Conficker Varianten den Zugang zu AV-Herstellern blocken ist dieser Test, der auf die Webseiten der Hersteller verbindet, ein gutes Indiz für einen Befall.

Sind alle Bilder zu sehen, dann ist mit grosser Wahrscheinlichkeit, alles in Ordnung und der PC ist nicht mit Conficker infiziert. Fehlen einzelne Bilder, dann könnte der PC mit Conficker infiziert sein. Die genaue Beschreibung gibt es auf Conficker Eyechart Check

Conficker ist aktiviert

Dienstag 31st März 2009Mittwoch 1st April 2009Ben Peter

In einigen Teilen der Welt ist es bereits der 1.April, der Tag an dem die Conficker Variante C Domains anfragt, mit der potenziellen Absicht Code nachzuladen.

Viel Panikmache wurde betrieben, sicherlich auch gewünscht, der die Anti Viren Software Hersteller haben gute Zahlen vorzuweisen für das erste Quartal. Bald wird man dies auch offiziell bestätigt lesen können. Letztendlich ist es aber so, dass ausschliesslich die Variante C des Wurmes die Funktion zum morgigen Mittwoch aktivieren wird. Ob und was passiert, steht in den Sternen und ist auch eigentlich halb so schlimm. Ist der PC bisher nicht infiziert und die Patches installiert, dann passiert Morgen auch nichts, was sonst nicht auch passieren würde. Also kein Grund den ganzen Tag den PC auszulassen. Sollten Morgen wirklich Code nachgeladen werden, so werden die Auswirkungen, aller Wahrscheinlichkeit nach erst nach und nach messbar werden. Die tatsächliche Verbreitung vom Conficker C ist nicht bestätigt, die weit verbeitete Variante war ohnehin Conficker B.

Also abwarten und überraschen lassen, wahrscheinlich passiert gar nicht.

Ein paar Infos zum Conficker finden sich im F-Secure Weblog, einfach mal vorbeischauen:

Conficker’s domain routine has already started

When will it start?

Questions and Answers: Conficker and April 1st

und heise meldet: Conficker entmystifiziert