Was ist den so schlimm an dem Wurm?

Also ich möchte jetzt das GEld haben für meine gnadenlos geile Idee! Ust anscheionend noch kein Experte drauf gekommen.

Wenn man herausbekommen kann welche Domains er ansurft um sich zu updaten warum nutzt man dann nicht so eine Domain um Ihn ein "eigenes" update aufzuspielen, das diesen Wurm unschädlich amcht?
Na? bin ich genial oder bin ich genial?

Sorry , liebe Confickerhoschies aber Ihr seit einfach nur Flachtüten!. Komisch das die Schlaubies von Microsoft und Co noch nicht darauf gekommen sind:)

Also macht mal fix hin!

Die Idee hatten schon 42 oder OVER 9000 (was dir besser gefällt) schon vor dir. Problem ist, wenn dann an dem System was nicht funktioniert (daten futsch/ Bluescreen oder whatever), sind die Urheber des Confickerkiller schuld.

Naja, nachgedacht hat nix gebracht bei dir :) Der "surft" 10.000e Domains an und die werden immer mehr, Schneeballprinzip. Da müßtest du schon weltweit alle Domains entsprechend "impfen" und das ist schlichtweg unmöglich, es gibt zig Millionen verschiedene. Davon abgesehen benutzt der Wurm ja auch ALLE infizierten Privat-PCs, um sich weiter zu verbreiten und spätestens die könntest du nicht alle impfen.

Außerdem bräuchte man ja erstmal den Sourcecode des Wurms in der Ursprungsform denk ich mal oder ist der schon bekannt ? Also die Programmierer des Confickers spielen schon in einem anderen Universum was man so liest, das hat kein Schüler in seiner Garage programmiert :) Ich behaupte mal, da steckt zu 100 % eine Organisation oder nen Geheimdienst mit SEHR viel know how dahinter.

Falls das doch irgendein Hacker in seinem (Kinder)zimmer programmiert haben sollte, dürfte der mit Kußhand von jedem IT-Unternehmen der Welt für ein fürstliches EInkommen eingestellt werden. Denn wer sowas hinbekommt, dürfte als Genie durchgehen.

rambo, es geht schon allein deswegen nicht weil dass auch wieder ein Eingriff wäre der illegal wäre.
Rechtlich gesehen könnte jeder der dieses Update dann erhält die Person/ das Unternehmen die das Update verteilen eine Anzeige aufhalsen.
Und jeder der das macht würde damit auch durch kommen, denn es ist ein unerlaubter eingriff in die Privatsphäre. Und dass ist in vielen Ländern ähnlich wie hier in Deutschland!

Glaubst du die Leute von MS, Symantec oder Sophos hätten die Idee nicht auch schon gehabt?
Sie haben sie einfach nur wieder verworfen, wer will schon mit tausenden von Anklagen auf Schadensersatz und so zu gebommt werden, nur weil man versucht dazu bei zu tragen nen Wurm zu entfernen?

jetzt wo du es sagst:) Eigentlich wirklich ziemlich easy:)

Quatsch!

der Conficker msus zwingend bestimmte Domaisn ansurfen. Schließlich haben die Confickerentwickler auch nicht Zugriff auf alle Domaisn der Welt und da braucht dann nur eine bei sein , die Microsoft gehört und die deaktiviert das teil einfach, spielt nen Patch dagegen auf udn gut ist

Dann ist aus mit der maus:)

wieso braucht man den Sourceciode?

Ahnung ist bei Dir mangeware?

Am Ende ist alles MAschinencode und da braucht man halt nur Leuet die da beherschen .

Der Code ist kein magisches Wesen:)

stimmt, ich würde di auch verklagen;) Logo:(

Das Rechtsverdreherherz zschlägt höher:)

Statt dessen hat man weiterhin ein Scheunentor;) LOGO!

hier startet die Magie aber voll durch :-)

Ich war erst skeptisch, aber dann habe ich flink deine Anleitung nachprogrammiert un ich bin entzückt! Alles wieder gut. Du bist echt ein Teufelskerl.

also wenn ich der entwickler des conficker währe, würde ich mich dagegen absichern, z.b. durch unbemerktes einschleusen einer virtualisierungsschicht vor dem wirtes oderso..was dann bei richtiger anwendung etwas schwiriger sein dürfte den wurm zu entfernen..

rambo schrieb:
-------------------------------------------------------
> Quatsch!
>
> der Conficker msus zwingend bestimmte Domaisn
> ansurfen. Schließlich haben die
> Confickerentwickler auch nicht Zugriff auf alle
> Domaisn der Welt und da braucht dann nur eine bei
> sein , die Microsoft gehört und die deaktiviert
> das teil einfach, spielt nen Patch dagegen auf udn
> gut ist
>
> Dann ist aus mit der maus:)

Das Problem ist, dass man nicht weiß, welche Domains das sind. Der Wurm surft nur massenweise Zufallsdomains an, und es ist eigentlich nur Zufall, wenn er ein Update findet. Nur die Masse sorgt wieder für eine ausreichend hohe Wahrscheinlichkeit, Updates zu finden.
Man müsste schon den Wurm auf einem infizierten Rechner unbeschränkt walten lassen, dann würde man es mitbekommen, wenn der Wurm dann einen Server mit Updatedaten gefunden hat. Den könnte man abschalten lassen, in der Zwischenzeit haben die Betreiber aber schon zig neue Updateserver am Laufen. Es ist ja schließlich kein Problem, mal eben neuen Webspace irgendwo zu ordern, oft sogar kostenlos.
Dazu kommt, dass Domains keine Würmer deaktivieren können, da es nur Namen sind.
Im Falle Conficker handelt es sich um anscheinend wirklich gute Programmierer, daher gehe ich davon aus, dass der Updatemechanismus mit wahrscheinlich mit Signaturen gesichert ist, so dass der Wurm durchaus erkennen kann, ob ihm ein fremdes Update untergeschoben werden soll.


Bis die Tage,

KK

----------------------------------------------------------
Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
(Epikur, griech. Phil., 341-270 v.Chr.)

Hammer Kommentar. Danke! :D

rambo schrieb:
-------------------------------------------------------
> Wenn man herausbekommen kann welche Domains er
> ansurft um sich zu updaten warum nutzt man dann
> nicht so eine Domain um Ihn ein "eigenes" update
> aufzuspielen, das diesen Wurm unschädlich amcht?
> Na? bin ich genial oder bin ich genial?

http://www.heise.de/security/Conficker-Wurm-stoert-legitime-Domains-im-Maerz--/news/meldung/133737

(letzter Absatz)


PS: Etwas weniger Kaffee tät Dir sicher gut ;o)

naja, hauptsache mit fachbegriffen um sich geschmissen xD

die ganzen flachluschen die hier mit pseudo wissen über irgendwas ankommen, sollen das hier http://mtc.sri.com/Conficker/addendumC/ erstmal lesen und VERSTEHEN. wenn man keine ahnung hat, einfach mal die fresse halten.

Verbreitungsmethoden
Schematische Darstellung der Verbreitungsmethoden

Ursprünglich hat sich Conficker über die von Microsoft im Bulletin MS08-067[1] beschriebene Sicherheitslücke weiterverbreitet. Es handelt sich dabei um eine sogenannte „Remote code execution vulnerability“ (Sicherheitslücke, durch die von außen eingeschleuster Code ausgeführt werden kann). Damit werden Sicherheitslücken beschrieben, bei denen ein Angreifer durch eine manipulierte Netzwerkmeldung einen Rechner dazu bringen kann, den schädlichen Code auszuführen, ohne dass dazu die eigentlich erforderliche Zugriffskontrolle stattfindet.

Darüber hinaus verwendet Conficker allerdings auch Mechanismen, die nicht auf Sicherheitslücken basieren. So werden innerhalb von Netzwerken Freigaben auf Datei- und Druckdiensten gesucht und benutzt, die von anderen Rechnern ausgelesen werden können.

Auch Wechseldatenträger wie USB-Sticks und externe Festplatten werden zur Weiterverbreitung genutzt, indem die Autorun-Funktion missbraucht wird.

Neuere Varianten öffnen darüber hinaus auch eine P2P-Verbindung zu anderen infizierten Rechnern und laden so neue Programmteile nach.[2]
[Bearbeiten] Auswirkungen

Um seine eigene Entfernung möglichst zu verhindern, blockiert Conficker die Benutzung von Windows-Diensten wie Windows Update, den Aufruf sämtlicher Herstellerseiten von Antiviren- und sonstigen Sicherheitsprogrammen, das Windows-Sicherheitscenter, Windows Defender und das Windows-Systemprotokoll. Durch erfolglose Versuche, sich an passwortgeschützten Dateifreigaben anzumelden, kann es dazu kommen, dass ganze Rechner nicht mehr benutzt werden können, da unter Umständen das entsprechende Benutzerkonto komplett gesperrt wird. Bisher sind keine weiteren schädlichen Aktionen des Wurms bekannt. Allerdings ist Conficker in der Lage, sich mit Servern in Verbindung zu setzen, von denen das Programm schädliche Programmteile nachladen könnte.

Anfang Januar 2009 legte der Wurm ca. 3000 Arbeitsplatzrechner der Kärntner Landesregierung lahm und sorgte dafür, dass Ämter der Kärntner Regierung tagelang offline waren. Zentrale Server der Landesregierung waren nicht betroffen und Amtsgeschäfte konnten somit eingeschränkt fortgeführt werden.

Am 19. Januar 2009 berichtete das Softwaresicherheitsunternehmen F-Secure von über neun Millionen betroffenen Rechnern.[3] Am 22. Januar 2009 berichtete NetMediaEurope (testticker.de), dass rund sieben Prozent aller deutschen PCs vom Conficker-Wurm befallen seien.[4] Kurze Zeit später berichtete spiegel.de am 23. Januar 2009 von womöglich 50 Millionen verseuchten Rechnern.[5] Das seien weit mehr als zuvor angenommen.

Am 23. Januar 2009 schätzte F-Secure die Anzahl der IP-Adressen der infizierten Computer auf weltweit eine Million. Die Verbreitung des Wurmes scheint eingedämmt, seine Desinfektion bleibt eine Herausforderung, ließ die Firma auf ihrem Blog verlauten. Nur ein Prozent der infizierten Computer befinden sich in den USA, während China, Brasilien und Russland zusammen 41 Prozent der Infektionsmeldungen liefern. Mit knapp 16.000 IP-Adressen der infizierten Computer befand sich Deutschland auf dem 16. Platz der internationalen Rangordnung.[6]

Am 5. Februar 2009 berichtete F-Secure von einem Anstieg der IP-Adressen auf 1,9 Millionen, aber es wird darauf hingewiesen, dass dies nicht zwingend einen Anstieg der Infektionen beweist, da die Sicherheitsfirma mehr Domains überwacht als früher.[7] Am 27. Februar ist die Anzahl der IP-Adressen, die von ihr aufgezeichnet werden, auf 2,1 bis 2,5 Millionen gestiegen. Allerdings haben sich laut F-Secure-Blog nun mehrere Unternehmen und Organisationen zusammengetan, um gegen den Wurm vorzugehen. So setzte Microsoft am 12. Februar (wie bereits bei Mydoom) einen Betrag von 250.000 US-Dollar für Informationen aus, die zur Identifikation des Conficker-Entwicklers führen.[8]

Am 13. Februar 2009 wurde bekannt, dass bei der Bundeswehr mehrere hundert Rechner von dem Wurm befallen seien.[9] Auch die französische Luftwaffe war davon betroffen. Dort blieben zwei Tage lang die Rechner ausgeschaltet.[10]

In dem am 17. März 2009 veröffentlichten Sicherheits-Newsletter berichtet Microsoft über die neue Variante Conficker.D (Microsoft) bzw. W32.Downadup.C (Symantec). Bisherige Varianten erzeugen täglich 250 neue Domainnamen, auf denen sie nach Updates suchen. Der Update-Mechanismus konnte erfolgreich blockiert werden, indem die Registrierung dieser Domains verhindert wurde. Die neue Variante des Wurms erzeugt dagegen ab dem 1. April täglich 50.000 neue Domainnamen, von denen 500 zufällig ausgewählt werden. Eine vorherige Registrierung so vieler Domains täglich ist nicht möglich. Die neue Variante soll außerdem System-Tools und Antiviren-Programme ausschalten können.[11][12]

Am 7. April 2009 bemerkte das Sicherheitsunternehmen Trend Micro eine erhöhte P2P-Aktivität von Conficker.C, womit der Wurm sich selbst in die Conficker.E-Variante wandelt. Damit versucht er nun verstärkt, seine Spuren zu verwischen. So werden nun auch Seiten blockiert, die Programme anbieten, um den Wurm zu entfernen. Außerdem tritt er nun unter einem zufälligen Dateinamen auf und löscht alle seine Spuren auf dem Wirts-PC. Diese Variante scheint sich aber zum 3. Mai 2009 selbst zu deaktivieren.[13] Am 9. April wurde bekannt, dass Conficker.C SpywareProtect2009 installiert, eine Scareware, die dem Anwender eine Infektion vorspielt und gegen eine Geldzahlung scheinbar entfernt. Der Download geschieht von einem Server aus der Ukraine aus.[14][15]