08 Sep 2010
Service centrum
»
Nieuws
»
Fout in Conficker toont welke pc's besmet zijn
Fout in Conficker toont welke pc's besmet zijn
Geplaatst door: Op: 31 Mar 2009 15:41
Details
Ook malwareschrijvers maken vergissingen
Onderzoekers van het Duitse Honeynet Project hebben een tool ontwikkeld waarmee systeembeheerders op afstand kunnen scannen welke computers besmet zijn met de Conficker-worm.
Zoals bekend misbruikt de worm een kwetsbaarheid in Windows. Na infectie van een pc dicht Conficker dit Windows-lek af met een eigen pleister. Dat maakt het lastig om te detecteren welke computers over de legitieme Microsoft-patch voor het lek beschikken, en welke de valse Conficker-pleister geïnstalleerd hebben.
Snel detecteren
De Conficker-patch heeft echter een zwakke plek, ontdekten de onderzoekers van het Honeynet Project. Die kan worden gebruikt om alsnog onderscheid te zien tussen de legitiem gepatchte en de geïnfecteerde computers.
"Conficker verandert hoe Windows eruitziet op het netwerk", legt medeonderzoeker Dan Kaminsky uit
op zijn blog
. "Die verandering kan op afstand anoniem en heel erg snel worden gedetecteerd. Je kunt letterlijk aan een server vragen of deze is besmet met Conficker, en de machine zal het je zeggen."
Scanner
Kaminsky en de anderen van Honeynet Project ontdekten dit afgelopen vrijdag. Maandag hadden ze een
proof-of-concept-scanner
gereed als bewijs.
De tool is geïntegreerd in de gratis
Nmap-netwerkscanner
en in scantools van bedrijven zoals Qualys, Ncircle en Tenable. De tools zijn ontworpen voor gebruik door netwerkbeheerders bij bedrijven, niet voor eindgebruikers.
C-variant
De Conficker-worm is er al sinds november.
De nieuwste variant sluit beveiligingsdiensten af, blokkeert verbindingen naar beveiligingswebsites, dowloadt een trojan en verbindt met andere geïnfecteerde computers via P2P-technologie.
De zogenaamde C-variant van de worm bevat ook een lijst van vijftigduizend verschillende domeinen. Gevreesd wordt dat de malware die domeinen op 1 april gaat bezoeken voor nieuwe kopieën of instructies. Maar volgens experts zullen woensdag slechts vijfhonderd domeinen gescand worden voor updates.
Zelf detecteren
Een snelle manier om te zien of jouw computer is geïnfecteerd, is door te proberen de website van een belangrijke antivirusleverancier zoals McAfee of Symantec te bereiken. De worm zal die sites blokkeren. Verwijderen van de malware is mogelijk met tools van diverse antivirusbedrijven, zoals de McAfee Avert Stinger Conficker die wij aanbieden in onze
downloadsectie
.
BRON :
www.zdnet.be
Gebruiker commentaar
Reageer
Deel uw ervaringen met ons. Als u een opmerking heeft over dit bericht, laat dan gerust een reactie achter om dit met ons te delen. Reacties worden door onze medewerkers gereviewed en hebben wellicht goedkeuring nodig alvorens geplaatst te worden. Vragen die op deze plek gesteld worden, worden niet in behandeling genomen. Voor vragen kunt u een nieuw Support Ticket aanmelden.
Volledige naam:
Email: (Optioneel)
Reacties:
Terug
Zoeken
-- Volledige helpdesk site --
Kennisbank
Downloads
Troubleshooter
Nieuws opties
Commentaar toevoegen
Printen
PDF versie
Toevoegen aan favorieten
Home
|
Registreren
|
Een ticket aanmelden
|
Kennisbank
|
Troubleshooter
|
Nieuws
|
Downloads
Taal:
Nederlands
English (U.S.)
Help Desk Software door Kayako eSupport v3.70.02
