[SEC] Conficker A, B, B++

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • Meauses
  • Registratie: November 2004
  • Laatst online: 14-10 18:14
Afbeeldingslocatie: http://4.bp.blogspot.com/_Om0YxyZyKVk/SXKEaQBSQwI/AAAAAAAAA0c/q-ucPjKY978/s400/Conficker_final.bmp

De Conficker worm terroriseert het internet al enige tijd en vanaf 16 februari is er een derde variant beschikbaar en actief.
Het begon allemaal met de A variant, waarna deze overging op B, nu is er de B++ variant welke weer wat uitgebreider is met meer 'subroutines'.

De werking van het virus is al een aantal keer onderzocht en uitgelegd, en de hele werking van Conficker fascineert me, dat zoiets kleins zulke impact kan hebben en de AV makers moeite hebben om het virus te bestrijden.Om het nog ingewikkelder te maken, maakt het virus gebruik van assymetrische encryptie, wat betekent dat de verbindingen tussen de geinfecteerde pc's versleuteld is.

Ik wil met dit topic graag een platform maken om over dit virus of de varianten hierop te discussieren.
Dit omdat het virus zo'n grote impact heeft en ondertussen grote bekendheid geniet.
Daarnaast ben ik niet zo bekend met virussen en wil op deze manier mijn kennis vergroten en evt. delen.

Verder ben ik ook benieuwd of iemand al last heeft gehad van dit virus, en wat hij of zij er tegen heeft gedaan.
Pc geformatteerd? Eigen analyse op los gelaten?
Daarnaast wil ik graag weten wat jullie denken over de makers. Wat zou hun doel hiermee zijn? hadden ze ooit verwacht dat het zo groot zou worden? etc.

Ik heb een aantal links neergezet voor de liefhebber om te lezen en wat meer kennis op te doen over dit virus.

Conficker Analysis
Wikipedia: Conficker
Conficker besmet tien miljoen Windows computers (Security.nl)
Conficker makers bang voor MS tipgeld

[ Voor 0% gewijzigd door Meauses op 25-02-2009 14:29 . Reden: link edit, typo's ge-edit ]

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp


  • LuckY
  • Registratie: December 2007
  • Niet online
* LuckY begint wel.

AFAIK geen ervaring mee gehad.
Maar vorige jaar aan het einde van me stage wel een uitbraak gehad die zich verspreide via MS08-067 Bestanden kan ik niet noemen maar ging om .exe's in elke share en 2 random .dll filenames in de admin share.
En een bootloop waardoor je niet kon reparen.


Begin van de week sprak ik iemand op mIRC die op een andere vestiging bij het zelfde bedrijf werkt. Volgens hem ging dit wel over conflickter A oftewel downandup volgens symantec terwijl Kaspersky er een hele andere naam aan gaf.

Dit hebben we redelijk lage besmetting kunnen houden en kunnen oplossen.
8/200 infected.... en binnen 4 dagen volledig opgelost.

Details kunnen uiteraard niet gegeven worden :+

Maar wil er nog wel eens meespelen ook al is het een Way above my league worm.

Acties:
  • 0 Henk 'm!

  • Meauses
  • Registratie: November 2004
  • Laatst online: 14-10 18:14
Ik vraag me vooral af of virusscanners conficker nou detecteren en welke virusscanners wel of niet.
Gezien de ontwikkelingen gaat het virus zich steeds beter verbergen en wordt deze steeds lastiger detecteerbaar.

Solaredge SE8K - 8830Wp - 15 x Jinko Solar N-type 420Wp - 2x Jinko Solar 405Wp - 4x Jinko Solar N-type 430 & Hoymiles HMS800 + 2x JASolar 375Wp