Grundlagen, Hintergrund und Information
Conficker - das größte Botnet aller Zeiten
Neu: Conficker D und E
Die Entwickler der Malware waren 2009 nicht untätig. Nachdem Conficker.C verteilt war, folgten die Varianten Conficker.D und Conficker.E. Beiden ist gemeinsam, dass sie deutlich mehr auf die Verteilung über P2P-Netzwerke setzen. Außerdem haben die Macher Maßnahmen gegen Anti-Viren-Programme deutlich verschärft. Beide Malware-Varianten prüfen die laufenden Prozesse auf Anti-Malware-Programme und schicken den jeweiligen Prozessen im Abstand von einer Sekunde einen Kill-Befehl. Die Befehle zielen dabei nicht nur Anti-Viren-Programme, sondern auch auf Patch- oder Diagnose-Programme. Wie schon zuvor manipuliert die Malware den DNS Lookup sowie die Auto-Update-Funktion von Windows. Conficker.E nutzte zur Verbreitung auch wieder die NetBIOS-Schwachstelle aus MS08-067, Conficker.D verzichtete darauf.
Im Video von Symantec erklärt der Forscher Ben Nahorney wie die verschiedenen Versionen von Conficker zusammenarbeiten und wie der Update-Vorgang abläuft.
Wurm-Version |
Conficker.D |
Conficker.E |
Verbreitung |
Keine lokale |
NetBIOS (MS08-067) |
Update und Anweisungen |
HTTP: Wurm prüft täglich 500 von 50000 generierten Domains |
NetBIOS-Push: Wurm prüft das lokale Netzwerk auf anfällige Hosts, patcht notfalls MS08-67 um eine erneute Infektion zu ermöglichen |
Schutzfunktionen |
DNS-Lookups werden unterbrochen und im Speicher manipuliert, |
DNS-Lookups werden unterbrochen, |