Wurm Conficker

Übersicht

Sonstiges

Smalltalk

Gehe zu Seite 1, 2 Weiter

	Markus2 Betreff: Wurm Conficker	Fr, Apr 03, 2009 15:40 Antworten mit Zitat
Hallo Leute. da dieses blöde Ding sehr hartnäckig ist mal eine Seite mit speziellen Tools die mir geholfen haben . http://iv.cs.uni-bonn.de/wg/cs...conficker/

Markus2

Betreff: Wurm Conficker

Fr, Apr 03, 2009 15:40
Antworten mit Zitat

Hallo Leute.

da dieses blöde Ding sehr hartnäckig ist
mal eine Seite mit speziellen Tools die mir geholfen haben .

http://iv.cs.uni-bonn.de/wg/cs...conficker/

	Silver_Knee	Fr, Apr 03, 2009 16:47 Antworten mit Zitat
hmm richtig interessant das mal zu lesen wie so ein Wurm detailliert funktioniert... Werde darauf zurrückkommen nachdem ich infiziert wurde (laut BILD unvermeidbar )

Silver_Knee

Fr, Apr 03, 2009 16:47
Antworten mit Zitat

hmm richtig interessant das mal zu lesen wie so ein Wurm detailliert funktioniert...

Werde darauf zurrückkommen nachdem ich infiziert wurde (laut BILD unvermeidbar Wink

)

	Randall Flagg	Fr, Apr 03, 2009 17:55 Antworten mit Zitat
HA! Dann muss ich ja god-like sein Keine Infektion freu Na ja, bin trotzdem mal gespannt was für ein Zweck Conficker hat, wenn es erstmal... erblüht ^^
Meine Parodien & Geschichten

Randall Flagg

Fr, Apr 03, 2009 17:55
Antworten mit Zitat

HA! Dann muss ich ja god-like sein Mr. Green

Keine Infektion *freu*

Na ja, bin trotzdem mal gespannt was für ein Zweck Conficker hat, wenn es erstmal... erblüht ^^

Meine Parodien & Geschichten

	Markus2	Fr, Apr 03, 2009 18:16 Antworten mit Zitat
Wir haben ihn auf der Arbeit Kann euch sagen das der unlustig ist weil er sich in Programme einnistet die System Rechte haben . Habe auch einen Bericht gelesen von Leuten die ihn genau unter die Lupe genommen haben . Das Ding ist jetzt nix besonderes , da wurden nur Möglichkeiten genutzt die es schon ewigkeiten gibt und das wird auch dank MS lange so bleiben ! Seit froh das er noch nix wirklich kaput gemacht hat . Dem Bericht nach versucht er ab dem 1.4 neue Updates zu bekommen . Ich denke der Autor wollte sich ein Vorsprung verschaffen um eine neue Version zu erstellen . Über der urlmon.dll und urldownloadtofile zieht der sich wohl die Updates . Hier könnte man evtl. einen Update Schutz einbauen . Über Mutex prüft er ob er schon läuft . Es gibt da auch Tools auf der genannten Webseite die einfach simulieren das er läuft damit er sich nicht startet .

Markus2

Fr, Apr 03, 2009 18:16
Antworten mit Zitat

Wir haben ihn auf der Arbeit Smile

Kann euch sagen das der unlustig ist weil er sich in Programme einnistet die System Rechte haben .

Habe auch einen Bericht gelesen von Leuten die ihn genau unter die Lupe genommen haben .

Das Ding ist jetzt nix besonderes , da wurden nur Möglichkeiten genutzt die es schon ewigkeiten gibt
und das wird auch dank MS lange so bleiben !

Seit froh das er noch nix wirklich kaput gemacht hat .

Dem Bericht nach versucht er ab dem 1.4 neue Updates zu bekommen .

Ich denke der Autor wollte sich ein Vorsprung verschaffen um eine neue Version zu erstellen .

Über der urlmon.dll und urldownloadtofile zieht der sich wohl die Updates .
Hier könnte man evtl. einen Update Schutz einbauen .

Über Mutex prüft er ob er schon läuft .
Es gibt da auch Tools auf der genannten Webseite
die einfach simulieren das er läuft damit er sich nicht startet .

	ozzi789	Fr, Apr 03, 2009 18:17 Antworten mit Zitat
wie merk ich überhaupt ob der drauf ist? Oo
0x2B \|\| ! 0x2B C# \| C++13 \| Java 7 \| PHP 5

ozzi789

Fr, Apr 03, 2009 18:17
Antworten mit Zitat

wie merk ich überhaupt ob der drauf ist? Oo

0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5

	BladeRunner Moderator	Fr, Apr 03, 2009 18:20 Antworten mit Zitat
Wenn Du das bei deinem Job nicht weisst seh ich schwarz für deine Kunden, ozzi.
Zu Diensten, Bürger. Intel T2300, 2.5GB DDR 533, Mobility Radeon X1600 Win XP Home SP3 Intel T8400, 4GB DDR3, Nvidia GF9700M GTS Win 7/64 B3D BMax MaxGUI Stolzer Gewinner des BAC#48, #52 & #92

BladeRunner

Moderator

Fr, Apr 03, 2009 18:20
Antworten mit Zitat

Wenn Du das bei deinem Job nicht weisst seh ich schwarz für deine Kunden, ozzi.

Zu Diensten, Bürger.
Intel T2300, 2.5GB DDR 533, Mobility Radeon X1600 Win XP Home SP3
Intel T8400, 4GB DDR3, Nvidia GF9700M GTS Win 7/64
B3D BMax MaxGUI
Stolzer Gewinner des BAC#48, #52 & #92

	Geeecko	Fr, Apr 03, 2009 18:20 Antworten mit Zitat
Unteranderem sind websites wie antivir oder die von microsoft gesperrt ("nicht erreichbar"). Gibt glaub ich noch mehr anzeichen... einfach mal googlen.
....

Geeecko

Fr, Apr 03, 2009 18:20
Antworten mit Zitat

Unteranderem sind websites wie antivir oder die von microsoft gesperrt ("nicht erreichbar").
Gibt glaub ich noch mehr anzeichen... einfach mal googlen.

....

	Markus2	Fr, Apr 03, 2009 19:00 Antworten mit Zitat
ozzi789 hat Folgendes geschrieben: wie merk ich überhaupt ob der drauf ist? Oo Der fällt fast kaum auf , der tut so auf einem PC auch nix auffälliges außer WEBSeiten zu sperren , Programme stürzen ab , AntiVir wird befallen , Symantec wird ausgeschaltet , Windows AutoUpdate ist aus etc. Der kann also alles was du auch tun kannst . Übrigens legt er noch einen komischen Dienst an der in der Bezeichnung auffällt z.B. so wezruwe Im Speicher ist er nicht verschlüsselt und ist daher schell zu finden aber da der sich in irgendeine EXE rein häckt nur wenn diese auch läuft . Also auf der Arbeit hatte ich zwei Entwicklungsumgebungen , XP und Win2000 in VM Ware . Von 2000 werde ich mich wohl trennen müssen ... In geplante Task steht er wohl auch mal drin , da kann man aber den Dienst ausschalten wenn man den nicht braucht . Bis jetzt ist nur im System32 Ordner und in einem Temp Ordner IE5 (oder so) was aufgetaucht .

Markus2

Fr, Apr 03, 2009 19:00
Antworten mit Zitat

ozzi789 hat Folgendes geschrieben:

wie merk ich überhaupt ob der drauf ist? Oo

Der fällt fast kaum auf , der tut so auf einem PC auch nix auffälliges außer
WEBSeiten zu sperren , Programme stürzen ab , AntiVir wird befallen , Symantec wird ausgeschaltet ,
Windows AutoUpdate ist aus etc.
Der kann also alles was du auch tun kannst .
Übrigens legt er noch einen komischen Dienst an der in der Bezeichnung auffällt z.B. so wezruwe
Im Speicher ist er nicht verschlüsselt und ist daher schell zu finden aber da der sich
in irgendeine EXE rein häckt nur wenn diese auch läuft .

Also auf der Arbeit hatte ich zwei Entwicklungsumgebungen , XP und Win2000 in VM Ware .
Von 2000 werde ich mich wohl trennen müssen ...

In geplante Task steht er wohl auch mal drin ,
da kann man aber den Dienst ausschalten wenn man den nicht braucht .

Bis jetzt ist nur im System32 Ordner und in einem Temp Ordner IE5 (oder so) was aufgetaucht .

	Markus2	Fr, Apr 03, 2009 19:03 Antworten mit Zitat
Meister_Dieb hat Folgendes geschrieben: Unteranderem sind websites wie antivir oder die von microsoft gesperrt ("nicht erreichbar"). Gibt glaub ich noch mehr anzeichen... einfach mal googlen. Da hilft meine ich SpyBot .

Markus2

Fr, Apr 03, 2009 19:03
Antworten mit Zitat

Meister_Dieb hat Folgendes geschrieben:

Unteranderem sind websites wie antivir oder die von microsoft gesperrt ("nicht erreichbar").
Gibt glaub ich noch mehr anzeichen... einfach mal googlen.

Da hilft meine ich SpyBot .

	ozzi789	Fr, Apr 03, 2009 19:07 Antworten mit Zitat
BladeRunner hat Folgendes geschrieben: Wenn Du das bei deinem Job nicht weisst seh ich schwarz für deine Kunden, ozzi. Lawl, thnx ich arbeite n bisl mehr als n halbes jahr in der Informatik branche habe bis jetzt nur erfahren/gehört das er den Virenschutz/MS update blockt und bitte sei nicht so offtopic sonst landest du noch im spam @Markus2 Ok, bei solchen krassen Symptomen wär ich selbst darauf gekommen ^^ Zum Glück hab ich seit neustem ne Hardware firewall und ne neue externe HD für Backups
0x2B \|\| ! 0x2B C# \| C++13 \| Java 7 \| PHP 5

ozzi789

Fr, Apr 03, 2009 19:07
Antworten mit Zitat

BladeRunner hat Folgendes geschrieben:

Wenn Du das bei deinem Job nicht weisst seh ich schwarz für deine Kunden, ozzi.

Lawl, thnx
ich arbeite n bisl mehr als n halbes jahr in der Informatik branche
habe bis jetzt nur erfahren/gehört das er den Virenschutz/MS update blockt

und bitte sei nicht so offtopic sonst landest du noch im spam

@Markus2
Ok, bei solchen krassen Symptomen wär ich selbst darauf gekommen ^^

Zum Glück hab ich seit neustem ne Hardware firewall und ne neue externe HD für Backups Razz

0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5

	Geeecko	Fr, Apr 03, 2009 19:32 Antworten mit Zitat
Naund? Ich denke, ich weiß es nicht, das er auch durch die ein oder andere Hardwarefirewall kommt Weiß da wer drüber bescheid? Ist doch theoretisch auch nur eine Firewall, die nur extern ist, um den PC nicht auszulasten... Oder ist da iwas besonderes? xD
....

Geeecko

Fr, Apr 03, 2009 19:32
Antworten mit Zitat

Naund?
Ich denke, ich weiß es nicht, das er auch durch die ein oder andere Hardwarefirewall kommt Wink

Weiß da wer drüber bescheid?
Ist doch theoretisch auch nur eine Firewall, die nur extern ist, um den PC nicht auszulasten...
Oder ist da iwas besonderes? xD

....

	ozzi789	Fr, Apr 03, 2009 19:41 Antworten mit Zitat
Man kann nicht sagen SW oder HW Firewall ist besser, kombiniert ist es sicherlich am besten Die HW Firewall hat den Vorteil das der PC nicht ausgelastet wird und das man einfach Regeln aufstellen kann usw Man ist jedoch nie 100% sicher wenn man am Netz ist ^^
0x2B \|\| ! 0x2B C# \| C++13 \| Java 7 \| PHP 5

ozzi789

Fr, Apr 03, 2009 19:41
Antworten mit Zitat

Man kann nicht sagen SW oder HW Firewall ist besser, kombiniert ist es sicherlich am besten Wink

Die HW Firewall hat den Vorteil das der PC nicht ausgelastet wird und das man einfach Regeln aufstellen kann usw

Man ist jedoch nie 100% sicher wenn man am Netz ist ^^

0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5

	Markus2	Fr, Apr 03, 2009 20:02 Antworten mit Zitat
Eine Firewall nützt gar nix wenn der IE oder Firefox lücken hat wo man Programme mit ausführen kann . Also bei normalen Webseiten die Werbung einbinden kann das schon passieren . Und wenn ein Programm einmal läuft kann es ganz schön viel faxen machen und sich einen freien Weg erstellen . Sonnst kann man sich natürlich Viren einfangen mit einem USB Stick über die Autorun.ini wenn sowas noch aktiv ist .

Markus2

Fr, Apr 03, 2009 20:02
Antworten mit Zitat

Eine Firewall nützt gar nix wenn der IE oder Firefox lücken hat wo man Programme mit ausführen kann .
Also bei normalen Webseiten die Werbung einbinden kann das schon passieren .
Und wenn ein Programm einmal läuft kann es ganz schön viel faxen machen und sich einen freien Weg erstellen .

Sonnst kann man sich natürlich Viren einfangen mit einem USB Stick über die Autorun.ini wenn sowas
noch aktiv ist .

	FireballFlame	Fr, Apr 03, 2009 21:03 Antworten mit Zitat
Ich kenne die Seite seit gestern ... und bin etwas verwirrt. Der Onlinetest auf dieser Seite zeigte mir gestern noch einen Alarm an, heute aber ein grünes Häkchen. Der Memory Disinfector zeigt mir, gestern wie heute, mehrere Funde sowie zahlreiche Fehlermeldungen an und killt den Windows Defender. Das Dateinamen- und Registry-Tool findet nichts. Das Mutex-Prüftool sagt ich sei infiziert, allerdings erst seitdem ich das "Impfprogramm" installiert hab, vorher nicht. Auf Internetseiten komm ich problemlos. Antivir findet nichts. Was meint ihr dazu?
PC: Intel Core i7 @ 4x2.93GHz \| 6 GB RAM \| Nvidia GeForce GT 440 \| Desktop 2x1280x1024px \| Windows 7 Professional 64bit Laptop: Intel Core i7 @ 4x2.00GHz \| 8 GB RAM \| Nvidia GeForce GT 540M \| Desktop 1366x768px \| Windows 7 Home Premium 64bit

FireballFlame

Fr, Apr 03, 2009 21:03
Antworten mit Zitat

Ich kenne die Seite seit gestern ... und bin etwas verwirrt.

Der Onlinetest auf dieser Seite zeigte mir gestern noch einen Alarm an, heute aber ein grünes Häkchen.
Der Memory Disinfector zeigt mir, gestern wie heute, mehrere Funde sowie zahlreiche Fehlermeldungen an und killt den Windows Defender.
Das Dateinamen- und Registry-Tool findet nichts.
Das Mutex-Prüftool sagt ich sei infiziert, allerdings erst seitdem ich das "Impfprogramm" installiert hab, vorher nicht.
Auf Internetseiten komm ich problemlos.
Antivir findet nichts.

Was meint ihr dazu?

	ozzi789	Fr, Apr 03, 2009 21:12 Antworten mit Zitat
Auf jeden mal deine wichtigen Daten sichern und hoffen das er sich nicht auf die externe HD o.ä ausweitet Es kann (wird sogar sicher so sein) das der Wurm jeden Tag geupdatet wird, und darum wurde er heute nicht gefunden, könnte auch nur ein Falschalarm sein, obwohl der Onlinetest angeblich ziemlich simpel ist... Fehlermeldungen? Schreib mal eine auf plz Es spricht einiges dagegen, aber es besteht immer die Chance.. Wir hoffen das beste
0x2B \|\| ! 0x2B C# \| C++13 \| Java 7 \| PHP 5

ozzi789

Fr, Apr 03, 2009 21:12
Antworten mit Zitat

Auf jeden mal deine wichtigen Daten sichern und hoffen das er sich nicht auf die externe HD o.ä ausweitet

Es kann (wird sogar sicher so sein) das der Wurm jeden Tag geupdatet wird, und darum wurde er heute nicht gefunden, könnte auch nur ein Falschalarm sein, obwohl der Onlinetest angeblich ziemlich simpel ist...
Fehlermeldungen? Schreib mal eine auf plz

Es spricht einiges dagegen, aber es besteht immer die Chance..
Wir hoffen das beste Smile

0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5

	Geeecko	Fr, Apr 03, 2009 21:27 Antworten mit Zitat
Er wird nicht jeden Tag geupdatet Er prüft lediglich jeden Tag ob neue Updates vorhanden sind... Aber erst seit dem 1. April. Jede Sekunde könnte der Wurm aber aktiv werden, wenn die Autoren ein Update hochladen...
....

Geeecko

Fr, Apr 03, 2009 21:27
Antworten mit Zitat

Er wird nicht jeden Tag geupdatet Wink

Er prüft lediglich jeden Tag ob neue Updates vorhanden sind... Aber erst seit dem 1. April.
Jede Sekunde könnte der Wurm aber aktiv werden, wenn die Autoren ein Update hochladen...

....

	BtbN	Fr, Apr 03, 2009 21:53 Antworten mit Zitat
Steck einen Definitiv leeren USB-Stick an den rechner(vorher auf anderem Rechner testen), warte nen bischen, zieh ihn ab, und guck an einem anderen Rechner(Vorzugsweise kein Windows oder Windows mit Autostart deaktiviert), ob was drauf ist. Wenn ja, hast du dir was eingefangen.

BtbN

Fr, Apr 03, 2009 21:53
Antworten mit Zitat

Steck einen Definitiv leeren USB-Stick an den rechner(vorher auf anderem Rechner testen), warte nen bischen, zieh ihn ab, und guck an einem anderen Rechner(Vorzugsweise kein Windows oder Windows mit Autostart deaktiviert), ob was drauf ist. Wenn ja, hast du dir was eingefangen.

	Smily	Fr, Apr 03, 2009 22:06 Antworten mit Zitat
http://www.heise.de/security/d...cker.shtml Ich bin clean
Lesestoff: gegen Softwarepatente \| Netzzensur \| brain.exe \| Unabhängigkeitserklärung des Internets "Wir müssen die Rechte der Andersdenkenden selbst dann beachten, wenn sie Idioten oder schädlich sind. Wir müssen aufpassen. Wachsamkeit ist der Preis der Freiheit --- Keine Zensur!" stummi.org

Smily

Fr, Apr 03, 2009 22:06
Antworten mit Zitat

http://www.heise.de/security/d...cker.shtml

Ich bin clean Wink

Lesestoff:
gegen Softwarepatente | Netzzensur | brain.exe | Unabhängigkeitserklärung des Internets

"Wir müssen die Rechte der Andersdenkenden selbst dann beachten, wenn sie Idioten oder schädlich sind. Wir müssen aufpassen. Wachsamkeit ist der Preis der Freiheit --- Keine Zensur!"
stummi.org

	Markus2	Fr, Apr 03, 2009 22:21 Antworten mit Zitat
FireballFlame hat Folgendes geschrieben: Ich kenne die Seite seit gestern ... und bin etwas verwirrt. Der Onlinetest auf dieser Seite zeigte mir gestern noch einen Alarm an, heute aber ein grünes Häkchen. Der Memory Disinfector zeigt mir, gestern wie heute, mehrere Funde sowie zahlreiche Fehlermeldungen an und killt den Windows Defender. Das Dateinamen- und Registry-Tool findet nichts. Das Mutex-Prüftool sagt ich sei infiziert, allerdings erst seitdem ich das "Impfprogramm" installiert hab, vorher nicht. Auf Internetseiten komm ich problemlos. Antivir findet nichts. Was meint ihr dazu? AntiVir hat er bei mir abgeschossen . Und er ist mal da und mal nicht da . Du kannst die Ausgabe vom Memory scanner umleiten mit > t.txt im Shell Fenster dann solltest du genau wissen welche exen betroffen sind . Dateinamen werden über einem Algorythmus erzeugt die wie ich denke schwer ausfindig zu machen sind . In der Registry das gleiche weil das ist nur ein Verweis auf diese Dateien zum starten . Die Schlüssel unter RUN kannst du selber angucken , ist einfacher . Das Ding erzeugt selber irgendwelche URLs die was mit Sicherheit zu tun hat und wenn es die gibt werden die gesperrt bzw. auf 127.0.0.1 umgeleitet . Also du kannst glück haben das es eine weile gut geht . Es gibt ein Tool was diese Mutex simuliert , dann solltest du nicht auf Mutex prüfen , ist klar oder ? Mutex ist einfach nur ein Name den man einträgt und abfragen kann ob er da ist , damit verhindert man das doppelte starten von einem Programm normalerweise .

Markus2

Fr, Apr 03, 2009 22:21
Antworten mit Zitat

FireballFlame hat Folgendes geschrieben:

Ich kenne die Seite seit gestern ... und bin etwas verwirrt.
Der Onlinetest auf dieser Seite zeigte mir gestern noch einen Alarm an, heute aber ein grünes Häkchen.
Der Memory Disinfector zeigt mir, gestern wie heute, mehrere Funde sowie zahlreiche Fehlermeldungen an und killt den Windows Defender.
Das Dateinamen- und Registry-Tool findet nichts.
Das Mutex-Prüftool sagt ich sei infiziert, allerdings erst seitdem ich das "Impfprogramm" installiert hab, vorher nicht.
Auf Internetseiten komm ich problemlos.
Antivir findet nichts.
Was meint ihr dazu?

AntiVir hat er bei mir abgeschossen .
Und er ist mal da und mal nicht da .
Du kannst die Ausgabe vom Memory scanner umleiten mit > t.txt im Shell Fenster dann
solltest du genau wissen welche exen betroffen sind .
Dateinamen werden über einem Algorythmus erzeugt die wie ich denke schwer
ausfindig zu machen sind . In der Registry das gleiche weil das ist nur ein Verweis auf diese
Dateien zum starten .
Die Schlüssel unter RUN kannst du selber angucken , ist einfacher .
Das Ding erzeugt selber irgendwelche URLs die was mit Sicherheit zu tun hat
und wenn es die gibt werden die gesperrt bzw. auf 127.0.0.1 umgeleitet .
Also du kannst glück haben das es eine weile gut geht .
Es gibt ein Tool was diese Mutex simuliert , dann solltest du nicht auf Mutex prüfen , ist klar oder ?
Mutex ist einfach nur ein Name den man einträgt und abfragen kann ob er da ist ,
damit verhindert man das doppelte starten von einem Programm normalerweise .

Zuletzt bearbeitet von Markus2 am Sa, Apr 04, 2009 0:13, insgesamt einmal bearbeitet

	Markus2	Fr, Apr 03, 2009 22:24 Antworten mit Zitat
Smily hat Folgendes geschrieben: http://www.heise.de/security/d...n clean Sei dir da nicht so sicher weil der Wurm nicht sofort die Seiten sperrt ! Aber wenn eines der Bilder fehlt könnte es sein , evtl. ist auch nur das Bild auf der Webpage ausgetauscht worden . Ich will nicht wissen was diese Icons für nen Traffic verursachen

Markus2

Fr, Apr 03, 2009 22:24
Antworten mit Zitat

Smily hat Folgendes geschrieben:

http://www.heise.de/security/d...n clean Wink

Sei dir da nicht so sicher weil der Wurm nicht sofort die Seiten sperrt !
Aber wenn eines der Bilder fehlt könnte es sein , evtl. ist auch nur das Bild auf der Webpage
ausgetauscht worden .
Ich will nicht wissen was diese Icons für nen Traffic verursachen Wink

Gehe zu Seite 1, 2 Weiter

Übersicht

Sonstiges

Smalltalk

Nach Oben

BlitzBasic Portal

Wurm Conficker

Betreff: Wurm Conficker