image

Conficker krijgt concurrentie van Neeris worm

zaterdag 4 april 2009, 11:00 door Redactie, 3 reacties

Het succes van Conficker is ook andere virusschrijvers niet ontgaan, Microsoft waarschuwt dat het een nieuwe worm heeft ontdekt die zich via het zelfde beveiligingslek in Windows naar binnen wurmt. Net als Conficker gebruikt de Neeris worm een exploit voor MS08-067, hoewel die volgens de softwaregigant nieuw is. Dat is niet van Neeris zelf te zeggen, aangezien de worm al een aantal jaren actief is. Sommige varianten gebruiken een exploit voor het MS06-040 lek, dat net als MS08-067 een beveiligingslek in de Server Service verhelpt. Deze week is een nieuwe Neeris variant gelanceerd, die een aantal overeenkomsten met Conficker heeft.

Copycat
Zo downloaden besmette machines een exemplaar van Neeris via HTTP, daarnaast verspreidt de worm zich ook via Autorun. Als laatste patcht het de TCP/IP laag van Windows systemen, om zo de beperking van het aantal uitgaande verbindingen op te heffen, die sinds XP Service Pack 2 van kracht was. Op 31 maart en 1 april was er een stijging van het aantal Neeris infecties zichtbaar. Microsoft merkt op dat die niet door Conficker is gedownload of dat het iets met de activatie van het domein algoritme op 1 april te maken heeft.

"De eerste exemplaren van Neeris dateren van mei 2005, dus het lijkt erop dat de Conficker auteurs in dit geval de copycats zijn", zegt Ziv Mador van het Microsoft Malware Protection Center. Aan de andere kant hebben de makers van Neeris nu de MS08-067 exploit toegevoegd, waardoor het volgens Microsoft mogelijk is dat de cybercriminelen samenwerken of in ieder geval van elkaars creatie op de hoogte zijn. Neeris begon als een IRC bot die zichzelf via links in MSN Messenger berichten verspreidde.

Autorun uitschakelen
De nieuwe variant maakt verbinding via poort 449 met een Command en Control server. Het server wachtwoord dat het gebruikt om in te loggen werd in februari nog door andere bots gebruikt. De worm zorgt ervoor dat die bij elke systeem start geladen wordt, ook in Veilige Modus. Gebruikers krijgen het advies om voorzichtig met AutoPlay / Autorun te zijn of die anders gewoon uit te schakelen. Daarnaast geldt ook het advies wat voor de Conficker worm gegeven werd, zoals het patchen van alle machines, mocht dat nog niet gedaan zijn.

Reacties (3)
04-04-2009, 13:06 door [Account Verwijderd]
[Verwijderd]
04-04-2009, 15:33 door Anoniem
Patch die zooi gewoon, kan er ook geen worm op losgelaten worden!

MS08-067 is al van Oktober vorig jaar
05-04-2009, 14:24 door Anoniem
De nieuwe variant maakt verbinding via poort 449 met een Command en Control server.

Knijp ook gewoon alles dicht en monitor het 80 en 443 verkeer. Zo kan er veel beter in de gaten wordne gehouden wat er alleemaal in komt en uit gaat. Voor de server helemaal geen internet verkeer mits dit noodzakelijk is.

Enkele goede appliances ertussen kan al een hoop tegen houden. Daarnaast moeten de clients ook een virusscanner hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.