Deutsche Forscher entwickeln Netzwerk-Scan für Conficker-Wurm
Zwei Forscher von der Uni Bonn haben einen Scanner entwickelt, mit dem sich infizierte Systeme übers Netz aufspüren lassen. Damit können insbesondere Firmen ihre Netze gezielt auf Conficker-Infektion testen.
Felix Leder und Tillmann Werner von der Uni Bonn haben den Conficker-Wurm analysiert und dabei unter anderem herausgefunden, dass er die Art und Weise ändert, wie Windows auf bestimmte Systemaufrufe reagiert. Das lässt sich nutzen, um mit Conficker infizierte Systeme übers Netz aufzuspüren.
Konkret kann ein Scanner übers Netz die Funktion NetpwPathCanonicalize() aufrufen, die die Lücke enthielt, über die sich Conficker verbreitet. Conficker fängt diese Aufrufe ab und behandelt sie selbst. Dabei ändert sich in bestimmten Fällen der Rückgabewert, wenn Conficker seine Hand im Spiel hatte. Für einen solchen Test muss allerdings der TCP-Port 445 des Windows-Systems erreichbar sein, was übers Internet normalerweise nicht der Fall ist (und auch nicht sein sollte).
Leder und Werner haben als Machbarkeitsbeweis einen solchen Scanner geschrieben. Da sie in Zusammenarbeit mit Dan Kaminsky diese Informationen an die Conficker Working Group und andere Sicherheitsexperten weitergereicht haben, sollten demnächst auch Scanner von Dritten diese Funktion anbieten. Insbesondere kündigt Kaminsky passende Erweiterung für nmap, Tenable (Nessus), McAfee/Foundstone, ncircle und Qualys an.
Administratoren in Firmen tun gut daran, ihr Netz noch vor dem 1. April nach möglicherweise infizierten Systemen zu scannen. Ab diesem Datum beginnt Conficker.C Updates aus dem Internet nachzuladen, von denen niemand weiß, was sie bewirken. Eine ganze Reihe von AV-Herstellern bieten spezielle Programme zur Reinigung von Conficker an. Sicherer ist es, auf infizierten Systemen eine Neuinstallation durchzuführen und ein Backup einzuspielen.
Zu dem Projekt siehe auch:
- Detecting Conficker, Ankündigung des Honeynet-Projekts
- Download des Scanners, ZIP-Datei
Zum Conficker-Wurm siehe auch
- Conficker-Wurm rüstet auf
- Conficker-Wurm stört legitime Domains im März
- Der Conficker-Wurm wird flexibler
- ICANN-Arbeitsgruppe soll Maßnahmen gegen Conficker-Wurm finden
- Hunderte Bundeswehr-Rechner von Conficker befallen
- Microsoft bietet 250.000 Dollar für Hinweise auf Conficker-Verbreiter
- F-Secure: Jetzt neun Millionen Windows-PCs mit Conficker-Wurm befallen
- Studie: 2,5 Millionen PCs mit Conficker-Wurm infiziert
- Conficker in Kärnten: Nach der Landesregierung nun die Spitäler
- Conficker schlägt bei Kärntner Regierung zu
(ju)
