Nieuwe Conficker variant verspreidt zich via P2P
Een week later dan verwacht is het massale Conficker botnet eindelijk in beweging gekomen. Sinds 1 april communiceerden de besmette machines via het P2P-netwerk dat de worm opzet, maar werden er geen updates verstuurd, tot gisterenavond. Hiervoor gebruikten de makers van Conficker niet het gevreesde website mechanisme, dat elke dag 50.000 domeinnamen genereert, maar het eigen P2P-netwerk dat al sinds begin maart actief is.
Werd in Conficker.C het verspreidingsmechanisme uitgeschakeld, in de nieuwste variant is die weer actief. Dat betekent dat de worm weer naar andere netwerken en machines zoekt om te besmetten. Veel interessanter is het mogelijke verband met een andere malware-familie en de herkomst van de worm. De nieuwe Conficker maakt verbinding met servers die het Waledac botnet gebruikt voor het downloaden van aanvullende malware. Waledac dook voor het eerst begin januari op en zou het werk van de Storm worm auteurs zijn. Virusbestrijders vragen zich nu af of Conficker, Waledac en Storm dezelfde makers hebben. Ook Conficker machines downloaden nu een versleuteld bestand van deze Waledac server, wat het echter doet is onbekend.
Houdbaarheidsdatum
De nieuwste variant genereert willekeurige poortnummers tussen de 1024 en 10.000 om te communiceren en zich te verspreiden. Daarnaast is het voorzien van een "houdbaarheidsdatum", die op 3 mei van dit jaar verloopt. De worm stopt dan met werken. Een ander opmerkelijk punt is dat de update, na het bijwerken van de besmette machine, zichzelf verwijdert en geen bestanden of andere aanpassingen van het register achterlaat.
Springplank
Onderzoekers van Symantec ontdekten een met Conficker.C besmet systeem dat twee bestanden, 484528750.exe en 484471375.exe, in de Windows temp folder met een minuut tussenpauze had ontvangen. Het gaat om twee bots, Waledac en de nieuwe Conficker variant. De virusbestrijder vraagt zich ook af of Conficker nu Waledac malware aan het verspreiden is, maar wil eerst verder onderzoek plegen voordat het met een antwoord komt of hier van een trend sprake is.
Weet iemand toevallig welke source port er wordt gebruikt, ik wil dit graag weten t.b.v. syslog analyse om mogelijke besmettingen op te kunnen sporen ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.