Conficker: Aktivität, aber keine Aktivierung

**gullinews** · 01. 04. 2009, 22:14

F-Secure berichtet, dass das Szenario eines "jüngsten Gerichts" in der Sache Conficker-Botnet ausbleibt. Jedoch sollen einige wenige Clients Kontakt zu Servern aufnehmen.

Am 1. April sollte das ominöse Botnet "Conficker" aktiviert werden - dieses war die große Befürchtung. Andere wiederum gingen von einem Hoax aus. Tatsächlich scheint es so zu sein, dass einige wenige der geschätzten 1 bis 4 Millionen mit Conficker infizierten Rechner dennoch Aktivität zeigen. Der 1.4. (GMT) diente ihnen als Aktivierungsdatum. Diese Rechner sollen etwa 500 Domains auf einer Liste von 50.000 zufällig generierten Domains kontaktieren, um nach Softwareupdates zu suchen beziehungsweise "neue Anweisungen" zu erhalten. Eine groß angelegte Spam- oder DDoS-Attacke fand also nicht statt. Auch gibt es bisher keine Updates zu vermelden, die dem Computerwurm ein neues Verhalten beibringen könnten.

weiterlesen

**Schnupfen1337** · 01. 04. 2009, 22:31

schafft conficker es, google down zu bekommen (mit DDOS) ?
theoretisch?

**d3m0n** · 01. 04. 2009, 23:17

eine Seite die laut alexa.com von 30% aller Internetnutzer täglich besucht wird dürfte über einen DDoS Angriff nur müde lächeln...

**c64er** · 01. 04. 2009, 23:18

Was mich nur wundert ist, dass anders als bei anderen Würmern, ich noch keinen Befall verzeichnen konnte. Werde bei Kunden, bei Freunden und Bekannten oder auf meinen Rechnern und eigenen Servern. Bei anderen Würmern war es schon der Fall, dass ich auf welchem System auch immer, ich mit Removal Tools und Arztköfferchen die befallenen Systeme fixen musste.

War es wirklich mit dem Aufspielen des gewissen Security Bulletin MS08-067 von Microsoft getan zum die Lücke und somit das Haupteinfalltor zu stopfen?

Was mich interessieren würde ...
Kann man mit einem ungepatchten XP oder Vista den Wurm "gezielt" anlocken. Würde das Ding gerne mal auf einer Testumgebung live erleben. F-Secure hat ja auf dem Screenshot der Website eine VMWare Maschine laufen und WireShark um die Verbindungen sichtbar zu machen. Scheint ja gut zu Funken das Teil.

Denke die Admins werden um die Osterzeit ihre Systeme aufgrund der Feiertage vernachlässigen und das es zu Ostern ggf. eine Überraschung geben könnte, da dann auch viele Leute frei haben und die privaten Rechner hochgefahren sind.

Sein wir gespannt was passieren wird.

**der_stro** · 02. 04. 2009, 00:36

@c64er Müsste eigentlich klappen, da Würmer Destruenten sind und somit gerne das Essen was wir ausscheiden und wegwerfen ist Windows der optimale Köder

Aber jetzt mal ernsthaft. Ist irgendwie schon witzig das der Wurm uns heute einen kleinen Aprilscherz bescherte. Ich seh nur momentan nicht ganz das Problehm bei der Sache, mitlerweile gibt es einen bequemen Weg ihn aufzuspüren und somit ist seine Vernichtung wohl ehr als Nebensache zu betrachten. Einzig und allein obliegt es nun Microsoft auch die 0815 Anwender mit einem nett verschürten Rundumsorglospacket zu bedienen, was ich ehr als eine Frage der Zeit erachte.
Eigentlich der Ideale Zeitpunkt für MS jedem User eine zwangs WGA Jacke anzulegen

Gruß
stro

**c64er** · 02. 04. 2009, 07:57

Kann mir schon gut vorstellen wie das abläuft. Der Virenschutz auf den Kisten ist nicht aktuell, der aktuelle Patchstand lässt ebenfalls zu Wünschen übrig und gesurft wird noch mit dem Internet Explorer 6. Da kommt Freude auf

**BlueBuda** · 02. 04. 2009, 08:11

Zitat von c64er

Kann mir schon gut vorstellen wie das abläuft. Der Virenschutz auf den Kisten ist nicht aktuell, der aktuelle Patchstand lässt ebenfalls zu Wünschen übrig und gesurft wird noch mit dem Internet Explorer 6. Da kommt Freude auf

willkommen auf meiner Arbeitsstelle

**ADI64** · 02. 04. 2009, 13:22

Zitat von c64er

Was mich nur wundert ist, dass anders als bei anderen Würmern, ich noch keinen Befall verzeichnen konnte. Werde bei Kunden, bei Freunden und Bekannten oder auf meinen Rechnern und eigenen Servern. Bei anderen Würmern war es schon der Fall, dass ich auf welchem System auch immer, ich mit Removal Tools und Arztköfferchen die befallenen Systeme fixen musste.

Liegt vllt auch daran, dass die Befallenen nicht davon wissen.
Die meisten anderen Würmer / Trojaner hinterlassen ja kleine nette Nachrichten in Form von geänderten Startseiten, Popups mit fraglichem Content, generell System-Anomalien.
Conficker erzeugt zwar starken Netzwerkverkehr und patcht seine eigene Eingangslücke, aber auf sich aufmerksam macht er ja nicht (oder hab ich was verpasst?).

**Brandy1990** · 02. 04. 2009, 16:08

Zitat von ADI64

Conficker erzeugt zwar starken Netzwerkverkehr und patcht seine eigene Eingangslücke, aber auf sich aufmerksam macht er ja nicht (oder hab ich was verpasst?).

nein Conficker macht nicht wirklich auf sich Aufmerksam ußer das er halt großen netzverkehr erzeugt und was noch dazu kommt er schaltet in der Ordneransicht aus das man Versteckte Dateien sehen kann auf normalen wege bekommt man es auch nicht mehr an)

Desweiteren legt er auf jeden angesteckten USB-Stick oder MP3-Player oder sonsotge Speichermedien einen Recycler Ordern (den es garnicht geben dürfte) und eine Autorun Datei (die auch versteckt ist)

PS: verdammte Tastatur (keine Lust rechtschreibfehler zu korrigieren >.< sry)

**c64er** · 03. 04. 2009, 20:24

Hi,

habe gerade gelesen das es eine angeblichen Test bei Heise gibt und anhand diesem soll man feststellen können, ob der Rechner mit dem Conficker Wurm befallen ist oder nicht. Was haltet Ihr von der Sache ....

Hier der Link von Heise: LINK

Greetz
c64er

**-Zonk-** · 03. 04. 2009, 20:57

Ich kann nichts davon halten, denn mein Rechner ist sauber.

Wäre trotzdem Intressant, wenn sich bei einem etwas anders zeigen würde.

Was ich komisch finde ist, dass Conficker noch nichts gemacht hat, ich meine wenn es bald möglich ist den Wurm entgültig zu "vernichten", dann wäre die Aktion doch ziemlich Sinnlos.

**epiphora** · 03. 04. 2009, 20:59

Demnach wäre mein iPod bzw. das Netz meiner Freundin nicht infizjert.

Nein, bei Heise steht ja selbst, dass der Test keine Sicherheit ist und anhand der Tatsache, ob irgendwelhe Bilder dargestellt werden, lässt sich das wohl nicht entscheiden.

**christophkrner** · 04. 04. 2009, 06:07

Zitat von Schnupfen1337

schafft conficker es, google down zu bekommen (mit DDOS) ?
theoretisch?

definitiv. Wenn jeder Rechner jede sekunde einmal den google surver aufruft. Dann kommen bei 4 Mio. ganz schön was zusammen. Die haben niemals ausreichend starke Server, um das zu schaffen sage ich.
Die meisten Server kacken schon bei 1900 ab.

**ADI64** · 08. 04. 2009, 09:19

Zitat von christophkrner

definitiv. Wenn jeder Rechner jede sekunde einmal den google surver aufruft. Dann kommen bei 4 Mio. ganz schön was zusammen. Die haben niemals ausreichend starke Server, um das zu schaffen sage ich.
Die meisten Server kacken schon bei 1900 ab.

Was heißt "die meisten Server"?
Google hat ein paar mehr Rechner als Sceneseite xy, die mal eben von einem kleinen Botnetz auseinandergenommen wird.

Zitat von d3m0n

eine Seite die laut alexa.com von 30% aller Internetnutzer täglich besucht wird dürfte über einen DDoS Angriff nur müde lächeln...

Sehe ich genauso.