Conficker-worm nu beter te vatten
Gepubliceerd: Maandag 30 maart 2009
Auteur: Jasper Bakker
De beruchte Conficker-worm gaat 1 april een volgende fase van zijn complexe ontwikkeling in. De detectie is nu echter flink vereenvoudigd.
Beveiligingsonderzoekers hebben een nieuwe en eenvoudige manier ontwikkeld om de Conficker-worm te detecteren. Tot op heden is dat alleen mogelijk met twee methodes die beide complex en tijdrovend zijn. De nieuwe scanmogelijkheid komt vanaf vandaag via updates in diverse netwerkbeveiligingspakketten. Dat omvat naast commerciële producten als Foundstone van McAfee en Nessus van Tenable Network Security, ook de open source-scantool Nmap.
Netwerk- en systeembeheerders hebben hiermee betere middelen om de worm in de kraag te vatten. De nieuwe methode maakt automatische detectie van de worm op hele hordes pc's mogelijk. Voorheen moesten beheerders of het netwerkverkeer van computers monitoren of per pc een systeemscan uitvoeren.
Buitenkansje
De betere detectie is mede ontwikkeld door Dan Kaminsky, die wereldfaam heeft verworven met zijn ontdekking van een groot gat in internetfundament DNS (Domain Name System). Onderzoekers zijn al vijf maanden bezig met de analyse en bestrijding van Conficker. Die worm bestaat nu in drie varianten en is opvallend complex."Dit is een ongelofelijk goedkope en niet arbeidsintensieve manier om machines op je netwerk te vinden die besmet zijn met malware", prijst Kaminsky de ontdekking van hem en twee collega's aan. "Dit is een buitenkansje; iets wat we echt niet altijd kunnen doen. De meeste malware is niet zo makkelijk te vinden."
De aanwezigheid van Conficker op een Windows-pc is nu te ontdekken dankzij data die is verzameld door malware-lokdoos The Honeynet Project. Honeynet-experts Tillman Werner en Felix Leder hebben samen met Kaminsky afgelopen weekend de 'vingerafdruk' van Conficker genomen. Zij hebben ook een testscanner (proof of concept) ontwikkeld.
Oorsprong?
Ondertussen gaan er berichten rond dat Conficker wel eens afkomstig kan zijn uit China. Dit claimt de Vietnamese antivirusleverancier BKIS die eigen analyses heeft gedaan van Confickers programmacode. Eerder waren er geruchten dat de worm van Russische makelij is.De opsporing van de wormschrijvers heeft prioriteit, maar niet alleen voor wetshandhavers. Microsoft heeft namelijk begin februari al een beloning van een kwart miljoen dollar uitgeloofd. Die premie is voor diegene die informatie biedt die leidt tot de aanhouding van de Conficker-makers.
