Conficker is klaar om het internet plat te leggen
Erwin Geirnaert (erwin.geirnaert@zionsecurity.com) is medeoprichter van Zion Security en Zion Telefonie.
28 april 2009 | Erwin Geirnaert
Bovenstaande titel trekt onmiddellijk de aandacht, en dat is ook de bedoeling. Iedereen zou dit stuk moeten lezen, of u nu verantwoordelijk bent voor security, business continuity of de IT van een bedrijf. Ook in dit geval is voorkomen beter dan genezen, want het kwaadaardig virus Conficker is zoals een alien uit de film Aliens gemuteerd naar een gevaarlijke variant.
Conficker is een virus dat wereldwijd miljoenen pc's heeft geïnfecteerd en zichzelf ondertussen al automatisch heeft geüpgraded tot een derde generatie, genaamd Conficker C. Wat zo uitzonderlijk is aan Conficker, is voornamelijk de manier waarop het virus is ontwikkeld. De criminelen maken gebruik van encryptie, digitale handtekeningen van updates, obfuscatie van code om analyse te bemoeilijken en ingebouwde beveiliging om Windows Update en antivirus af te blokken.
Een pc die via het netwerk werd geïnfecteerd, moet volledig opnieuw geïnstalleerd worden. Conficker C is zo'n hardnekkig beestje dat een infectie quasi onmogelijk te herstellen is. Het virus detecteert cleaning tools zodat die hun werk niet kunnen doen en ook Safeboot wordt gedisabled. Wat processen betreft, is Conficker op elke pc anders. Het virus herschrijft zelfs DNS zodat DNS lookups onbetrouwbaar zijn. Bovendien zijn IP-adressen van Microsoft en antivirusproducenten hard gecodeerd in het virus, waardoor alle connecties voor updates worden geblokkeerd.
Oorzaak van de infectie is een kritische Microsoft-patch voor NetBios op poort 445. Een pc die niet gepatched is en zonder een firewall (persoonlijke of netwerk firewall) met het netwerk verbonden, is een vogel voor de kat. Dat bewijst nogmaals dat de alomgekende beveiligingsrichtlijn 'defense in depth' een must is, voor zowel bedrijven als thuisgebruikers. Een geïnfecteerde pc begint namelijk andere pc's te scannen en te besmetten, maar ook lokale netwerkdrives worden geïnfecteerd door bestanden te overschrijven als het virus het wachtwoord heeft gekraakt.
Verschillende securitybedrijven schatten dat zo'n 2 à 10 miljoen pc's geïnfecteerd zijn, wat resulteerde in het grootste botnet ooit. De volgende stap van Conficker is zichzelf updaten met nieuwe software die kredietkaartgegevens, logininformatie en dergelijke onderschept. Omdat onderzoekers de datum 1 april 2009 in de code hadden teruggevonden, was er op bepaalde websites sprake van D-day. Gelukkig is er niets "gebeurd" en was het misschien een aprilgrap.
Het doemscenario is dat Conficker zal worden ingezet om zoveel mogelijk trafiek los te laten op een website of netwerk dat die dag een impact kan hebben op de werking van het internet zoals we het nu kennen. Het enige wat u daartegen kunt doen, is ervoor zorgen dat elke pc up-to-date is met patches en antivirussoftware, en afgeschermd met een netwerk firewall. Geïnfecteerde pc's moeten onmiddellijk van het netwerk worden losgekoppeld en opnieuw geïnstalleerd, gepatched en geconfigureerd met persoonlijke firewall en antivirus.
Om te weten of u het virus opgelopen heeft, surft u gewoon naar http://www.confickerworkinggroup.org/infection_test/cfeyechart.html. Omdat Conficker connecties naar securitysites afblokt, zal u geen images zien. Een scan is dus niet nodig.
bron: IT Professional
GERELATEERDE ARTIKELS OP ITPRO:
Reacties
Reageer op dit artikel
0 reacties op dit artikel:
