Conficker worm niet handmatig te verwijderen
Zo'n 5,5 miljoen machines zijn wereldwijd nog altijd met de Conficker worm besmet, mede omdat de worm zo lastig te verwijderen is en beheerders vervolgens de vereiste beveiligingsupdate niet installeren. "We blijven veel infecties zien, met name voor de A en B varianten van Conficker", zegt Andre DiMino, directeur van de Shadowserver Foundation. De organisatie houdt voor de Conficker Working Group het aantal besmettingen bij. Volgens hem is de omvang van de worm goed in kaart gebracht, maar is het nu tijd voor de grote schoonmaak. Die moet voornamelijk in Brazilië, China en Vietnam plaatsvinden, aangezien daar de meeste machines staan.
De gigantische omvang van het botnet wordt ook veroorzaakt doordat het volledig verwijderen van de worm zeer lastig is. Veel van de besmette machines zijn in veel gevallen opnieuw geinfecteerd geraakt. "Het stelt zeer lastige ACL rechten in voor de bestanden en registersleutels die het aanmaakt", aldus Mikko Hypponen van F-Secure. "Handmatig verwijderen is zo goed als onmogelijk. En het beschikbaar stellen van Conficker verwijdertools duurde veel langer dan met andere wormen, aangezien deze zo enorm complex was."
Geen eind in zicht
Volgens Marcus Sachs, directeur van het SANS Internet Storm Center, kan de worm zoveel slachtoffers maken omdat veel machines nog altijd ongepatcht zijn. "Het is zeer waarschijnlijk dat veel machines voorheen besmet waren, zijn schoongemaakt, en opnieuw geinfecteerd zijn geraakt omdat de gebruiker niet de patch installeerde waardoor de worm naar binnen kon komen of per ongeluk de patch heeft verwijderd."
Aangezien er zo'n miljard computers op het internet zijn aangesloten, is er een groot aanvalsoppervlak voor de worm. "Het is mogelijk dat Conficker door de onvoorzichtigheid van gebruikers nog steeds miljoenen slachtoffers kan maken." Ook Hypponen verwacht geen oplossing in de nabije toekomst. "Conficker zal nooit stoppen met verspreiden. Er zijn nog talloze machines die kwetsbaar zijn. Gebruikers snappen het gewoon niet."
Experiment
De andere vraag blijft wat de botnetbeheerders met Conficker gaan doen. Het botnet is nog niet voor grootschalige DDoS-aanvallen ingezet, waar experts in eerste instantie bang voor waren. "Het is mogelijk een uit de hand gelopen experiment, of een test om te zien hoe goed er gereageerd wordt, of het zijn mogelijk de voorbereidingen voor een toekomstige aanval waar we nog niet aan gedacht hebben. De tijd zal het leren", besluit Sachs.
HKLM/software/microsoft/windowsNT/currentversion/svchost, dubbelklik op netsvcs. Daar zie je welke services er geladen worden tijdens het opstarten. Als er services met vreemde lettercombinaties bij staan zoals enkkhj of gherre e.d. dan zitten er nog resten van conficker in die pc en dat leidt tot vertraging in de werking van die pc, het niet meer toepassen van policies en het niet meer toepassen van updates, en nog veel meer.
Ik heb een tool gemaakt waarmee je computers in verschillende ip ranges kan scannen op de aanwezigheid van die vreemde lettercombinaties in het register. Daarnaast heb ik ook een tool die deze verwijzingen naar die services verwijdert. Zodra je deze tools hebt gebruikt is het een kwestie van opnieuw opstarten en de pc werkt weer naar behoren.
Indien je geinteresseerd ben in de technieken die ik gebruik om in grote netwerk omgevingen alle pc's confickervrij te maken dan kan je me altijd bellen op nummer 06 416 35 760. Vraag naar Dhr Veldkamp.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.