user_mobilelogo
  • U bevindt zich hier:  
  • Start
  • IT Nieuws
  • IBM wil met ai-software aan tv-quiz meedoen

Conficker-worm kan met eigen p2p-protocol worden bestreden

Gegevens

Onderzoekers hebben een nieuw wapen gevonden in de strijd tegen het Conficker-virus. Het blijkt dat de worm is op te sporen door er via het ingebouwde p2p-systeem verbinding mee te zoeken en het verkeer te analyseren.

Onderzoekers van het antivirusbedrijf Symantec hebben samen met Ron Bowes, bekend van de Nmap-netwerkscanner, een nieuwe manier gevonden om de Conficker-worm op te sporen. Vanaf de c-versie beschikt Conficker over een p2p-mogelijkheid, die vermoedelijk is toegevoegd als backup voor de http-aansturing van de malware. Door met de gebruikte netwerkpoorten te communiceren en de resultaten te analyseren kan de worm worden ontdekt. Het is de tweede keer dat een doorbraak in de opsporing van Conficker wordt gemeld.

Bowes heeft voor de p2p-detectie van Conficker een script geschreven dat in Nmap4.85 Beta 8 is ingebouwd. Symantec heeft Bowes geholpen met de analyse van het netwerkverkeer. Conficker.c gebruikt twee tcp- en twee udp-poorten om met andere geïnfecteerde pc's te communiceren. De poortnummers worden gekozen aan de hand van het ip-adres en de systeemtijd. Als naar de bewuste poorten een speciaal geconstrueerd netwerkpakketje wordt verstuurd, kan aan de hand van de reactie worden vastgesteld of een pc is geïnfecteerd, schrijft Bowes op zijn blog. "De manier waarop de schrijver het implementeerde was slim, maar niet baanbrekend", zegt Alfred Huger, hoofd van Symantecs Security Intelligence Analysis Team.

Hoewel de nieuwste beta-versie van Nmap Conficker.c kan opsporen, is het script volgens Bowes in zijn blog niet honderd procent betrouwbaar. Firewalls en poortfilters kunnen de benadering van de Conficker-poorten beletten, nat kan de scan in de war schoppen en als de Windows-poorten 445 en 139 zijn geblokkeerd kan het script niet gedraaid worden. Ook kan de detectiesoftware alleen Conficker.c en nieuwere varianten ontdekken.

Conficker deed enkele dagen na 1 april voor het laatst van zich spreken. Toen zou Conficker volgens onderzoekers overschakelen op een andere communicatiemethode. Dat bleef uit, maar de toenmalige Conficker c-variant werd wel bijgewerkt naar versie 'e', die de Waledac-spambot installeerde. Met het installeren van spambots lijken de hackers te willen cashen; het botnetwerk zou nu aan spammers verhuurd kunnen worden.

bron: tweakers.net