Neue Conficker-Version, P2P Download und das Waledac Botnetz
Meldung vom 09. Apr 2009 um 01:04 Uhr | Keine Kommentare

Die große Aufregung um den 1. April rund um den Conficker Virus hat sich inzwischen gelegt, doch scheinbar passieren im Hintergrund weiter interessante Dinge. Die Virenspezialisten weltweit haben seit der viel zitierten Aktivierung zum Monatsanfang nichts wirklich ungewöhnliches entdeckt, bis auf das anhaltende Überprüfen von Datum und Uhrzeit durch den Virus. Allerdings beobachtete man eine sich verstärkende Kommunikation von Conficker über P2P Knoten, die vor einiger Zeit in neueren Varianten von Conficker eingebaut ist.

Dann aber konnte letzte Nacht eine Veränderung festgestellt werden. Laut TrendMicro wurde eine neue Dateiversion auf einem befallenen Testrechner entdeckt. Diese neue Version wurde am 7. April um 7:41 Uhr erzeugt. Ein Vergleich mit den P2P Daten brachte die Erkenntnis das diese neue Version nicht über einen normalen HTTP Download von einem der zig von Conficker generierten Domainnamen bezogen wurde, sondern direkt von einem P2P Node aus Korea kam. Dies ist somit Variante E (laut TrendMicro) des Virus.

Eine Analyse dieser neuen Version zeigt einige neue Verhaltensmuster auf:

  1. Am 3. Mai 2009 wird diese Variante den Dienst beenden
  2. Sie läuft unter zufälligen Dateinamen und zufälligen Dienstnamen
  3. Sie wird danach die Komponente und alle anderen Spuren wie Registry-Daten löschen
  4. Verteilt sich über MS08-067 Bug an externe IPs, falls eine Internetverbindung vorhanden ist. sonst werden lokale IPs versucht.
  5. Öffnet Port 5114 und dient als HTTP Server durch Broadcast via SSDP Anfragen
  6. Verbindet sich mit den folgenden Webseiten:
    • Myspace.com
    • msn.com
    • ebay.com
    • cnn.com
    • aol.com

Interessant ist vor allem auch der Punkt, das der Rechner mit der E-Variante eine bekannte Waledac Domain (goodnewsdigital[dot]com) ansteuerte und eine weitere verschlüsselte Datei versuchte herunterzuladen. Dies geschah zufälligerweise direkt nach dem Auftauchen der neuen Version auf dem Testrechner. Auf der entsprechenden Domain findet sich zur Zeit ein neues Waledac Binary. Ob es zwischen Conficker und dem Waledac Botnetz nun eine Verbindung gibt oder ob dies eher Zufall oder ein Täuschungsmannöver ist, ist zur Zeit noch unklar. Festzuhalten bleibt jedenfalls das Confickers P2P Kommunikationsnetz scheinbar funktionsfähig ist und aktiv genutzt wird.



abgelegt unter: Netzsicherheit
getagged mit: , , ,
Kommentar Feed: RSS 2.0
Die Kommentarfunktion sowie die Pingfunktion sind zur Zeit abgeschalten.

Die Kommentarfunktion ist abgeschaltet.