|
kritische Sicherheitslücke -> Wurm Ausbruch Der Netzwerk-Wurm Kido breitet sich in diesen Stunden aus. Er nutzt eine Sicherherheitslücke die bisher nicht automatisch geschlossen wurde. Infos zum Wurm Hotfix für alle Plattformen |
Danke für die Info |
IMHO ist das Ding bekannter unter dem Alias "Conficker". Vielleicht sollte man das ergänzen. ;) |
Ach ja, die SPON-Leser :D |
Ist doch schon lange bekannt :) Denen, die es immer noch nicht geschafft haben zu patchen, gehört sowieso eine auf den -> :twak: http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst -23.10.2008 http://www.heise.de/security/Windows-Wurm-nimmt-an-Fahrt-auf-27.11.2008 |
Ich habe mal den aktuelle Spiegelartikel hier rein gestellt WARNUNG DES INNENMINISTERIUMS Cyber-Verbrecher rüsten auf Rasant breiten sich Computerschädlinge wie "Conficker" aus - so schnell, dass jetzt erstmals das Innenministerium Alarm schlägt. Online-Kriminelle gehen immer professioneller vor, arbeiten profitorientiert, operieren international. Und sie nutzen ähnliche Strukturen wie das organisierte Verbrechen. weiter auf spiegel.de Warnung des Innenministeriums: Cyber-Verbrecher rüsten auf - SPIEGEL ONLINE - Nachrichten - Wirtschaft Conficker infiziert zehn Millionen Computer Der Wurm Conficker breitet sich rasend schnell in Firmennetzwerken aus. Er tritt in immer neuen Verkleidungen auf - das macht ihn besonders heimtückisch. Ein besonders trickreicher Computerschädling breitet sich mit rasender Geschwindigkeit in Firmennetzwerken aus. Der Conficker, Downadup oder Kido genannte Computerwurm wird nicht nur über infizierte E-Mails eingeschleppt, sondern vor allem über USB-Sticks und Laptops. Betroffen sind weltweit bereits neun bis zehn Millionen Computer mit Windows-Betriebssystem, vor wenigen Tagen waren es noch drei Millionen. Windows-Hersteller Microsoft hatte zwar schon im Oktober eine Reparatursoftware bereitgestellt. Doch viele Systemverwalter legten keine besondere Eile an den Tag, weshalb auch Roger Halbheer, Microsofts Sicherheitschef für Europa, den Experten vorwarf, sie spielten russisches Roulette. Systemverwalter müssen allerdings die Updates immer erst darauf prüfen, ob sie sich mit der im Haus verwendeten Software vertragen. (...) Auf befallenen Computern hängt sich der Wurm an die Windows-Prozesse svchost.exe, explorer.exe und services.exe. Er setzt außerdem eine Reihe von Sicherheitsoptionen außer Kraft, unter anderem die automatische Update-Funktion von Windows, den Windows Defender und den Fehler-Benachrichtigungsdienst und versucht, den Zugriff auf die Internetseiten von Anbietern von Antivirensoftware zu unterbinden. Aktuelle Antivirenprogramme erkennen den Wurm inzwischen. Dazu muss ein kompletter Scan über alle Dateien gemacht werden, was einige Stunden dauern kann. Microsoft gibt auf seiner Internetseite Tipps, wie man seinen Rechner wieder sauber bekommt. weiter auf sueddeutsche.de http://www.sueddeutsche.de/,tt5m1/co...7/455184/text/ |
Zitat:
Zitat:
Na klar, es ist alles schon mal dagewesen. :rolleyes: Neu ist aber, dass angeregt durch die Meldung, Conficker habe bereits 9 Mio. Systeme infiziert, Nicht-"Fach"-Medien eine Wurm-Flut an die Wand malen, ob zu Recht oder Unrecht, sei dahingestellt. In einem "Alles rund um Windows"-Unterforum sollte man das ja mal erwähnen können. |
Zitat:
Microsoft Security Bulletin Summary for October 2008 |
Zitat:
Zitat:
Weder herrscht Einigkeit über die Anzahl der Infektionen (man munkelt 500.000 bis 10.000.000 - dazwischen ist viel Platz für Panikmache) noch hat man derzeit großartig Ahnung was das Ding überhaupt will und was es wirklich kann wenn es denn weiß was es will. Wer sein System auf dem neusten Stand hält, sollte auch mit Conficker keine größeren Probleme haben. Alle anderen setzen sich sowieso einem erhöhten Risiko aus (und beten, dass der gecrackte Virenscanner das Ding schon schaukeln wird). Marc |
Zitat:
Ich muss noch was schreiben dass ich posten kann... |
Nur um auf`m Laufenden zu bleiben. CONFICKER/DOWNADUP Fachleute befürchten 50 Millionen verseuchte Rechner Bisher hat der Conficker-Wurm nicht mehr getan, als sich zu vermehren. Das aber kann er so gut, dass die Warnungen davor immer schriller werden: Eine Epidemie sei das, der größte PC-Virenbefall seit Jahren. Weil er auch einer der unnötigsten ist, gerät einmal mehr Microsoft in die Kritik. Conficker/Downadup: Fachleute befürchten 50 Millionen verseuchte Rechner - SPIEGEL ONLINE - Nachrichten - Netzwelt |
Where is Downadup? - F-Secure Weblog : News from the Lab As time passes, the number of estimated Downadup infections becomes more problematic to calculate as we are monitoring a varying number of domains. Re-infections may also be inflating the count. In any case, today seems better than the day before and we think that growth of Downadup has been curbed. Disinfection of the worm remains a challenge. So let's look at Thursday's IP count, where are the infected computers? Our sinkhole logged just over one million unique IP addresses yesterday. This is compared to 350,000 last Friday. Remember, there may be any number of computers sitting behind a single IP address. China, Russia, and Brazil have the highest IP count. Combined, they account for nearly 41 percent of the total. Only a bit over 1 percent came from the United States… Here's the breakdown by country: Number of IPs Registered Country of the IP 1388 Sweden 1394 Peru 1555 Yemen 1669 Canada 1723 Hong Kong 1803 Czech Republic 1906 Sri Lanka 2178 Croatia 2179 Austria 2249 Moldova 2486 Lithuania 2839 Ecuador 2971 Slovakia 3127 Bosnia and Herzegovina 3269 Jordan 3451 Vietnam 4310 Portugal 4423 Saudi Arabia 4666 Spain 4895 Japan 5572 Iran 5763 Republic of Macedonia 6758 Poland 6822 Hungary 6900 Bulgaria 7857 United Kingdom 7973 Pakistan 8088 France 8328 Turkey 10249 Venezuela 10527 Mexico 10683 .EU 11779 United States (1.17%) 12629 Kazakhstan 14785 Colombia 15697 Germany 16154 Taiwan 16924 Philippines 17285 Malaysia 17312 Thailand 17322 Chile 21263 Indonesia 36070 Argentina 39156 Romania 39712 Italy 39731 South Korea 63939 Ukraine 64035 India 120197 Brazil (11.9%) 139934 Russia (13.9%) 152016 China (15.1%) 1005941 |
Ich bin gerade etwas irritiert. Ich habe es im Moment mit einer Conficker-Infektion zu tun und keines der Removal-Tools schlägt an. Grund hierfür ist, dass die hier* gefundene Variante einen Rootkittreiber mitbringt. Allerdings hilft es auch nicht, den Rootkittreiber per Wiederherstellungskonsole zu entsorgen. Nach Booten der Windowsinstallation und einem Check mit gmer ist der Treiber wieder aktiv. Er scheint also noch irgendwie abgesichert zu sein. Wir werden heute vllt avira kontaktieren, denen den Treiber zusenden und u.U. eine etwas weiterführende Antwort bekommen. Marc * nein, nicht auf meinem Privatrechner |
Hi, MBAM wäre noch ein Versuch wert, die haben auf jeden Fall auch Signaturen für Conficker und sollten daher in der Lage sein, den zu erkennen und die Jungs sind bei Rootkits generell ganz gut dabei. :) Wird der Treiber auch wiederhergestellt, wenn ihr in den abgesicherten Modus wechselt? Ist nur der Schlüssel versteckt, oder auch die Datei? Ich weiß im Moment nicht wie das bei Windows ist: Wann werden die CurrentControlSet /Controlset1/etc Schlüssel abgeglichen? Evtl wird der Eintrag ja auch von Windows wieder hergestellt? Wie sieht das Rootkit aus? Blockt es Sicherheitsprogramme? Ansonsten könnte man mal ne RSIT-Loganalyse machen und versuchen die gröbsten Dateien mit Avenger/CF zu löschen. lg myrtille, die zum ursprünglichen Thema doch nochmal auf diesen festgetackerten Thread Außerplanmäßiges Windowsupdate hier im Unterforum hinweisen will. Das Update haben wir Ende Oktober nicht umsonst empfohlen. :blabla: |
Der klinkt sich in einige API Funktionen ein. Da würde ich es evtl. mit IceSword versuchen. Hast du denn Zugriff auf den Rechner oder nur auf die logs? Mir ist da grade nochwas eingefallen. (Wenn du das alles schon weisst bitte ich das zu entschuldigen aber ich will nur helfen.. ;) ) Und zwar meine ich gelesen zu haben, ich suche grade, dass der Wurm in einigen Varianten auch legitime Systemtreiber befällt wie denn beep.sys und sich so wiederherstellt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board