Conficker.E-Wurm installiert Scareware und wird am 3. Mai abgeschaltet – oder auch nicht

scareware-spyware-protect-2009

Der berühmt berüchtigte Conficker-Wurm macht knapp zwei Wochen nach seiner letzten Aktion am ersten April wieder von sich reden. So haben vor ein paar Tagen zahlreiche Anti-Viren-Hersteller mit Conficker.E eine neue Variante des digitalen Schädlings entdeckt. Details über den modifizierten Wurm beschreibt Ivan Macalintal von TrendMicro im firmeneigenen Malware-Blog:

Anzeige

Checking also on traffic captures show that there was no HTTP download that occurred somewhere around that time frame, which was from April 7, 2009 at 07:40:00 up to April 7, 2009 at 07:42:00. However, we noticed a huge encrypted TCP response (134,880 bytes) from a known Conficker P2P IP node (verified by other independent sources), which was hosted somewhere in Korea. The size of the encrypted TCP blob pretty much matches the size of the binary that got created in the aforementioned folder. There are some additional bytes, which could be the headers and keys that Conficker/Downadup has been known to use.

Zusätzlich installiert der Conficker-Wurm auf den infizierten Rechnern mit “Spyware Protect 2009″ eine so genannte Scareware, die den Nutzer mit falschen Virenfunden dauernervt und zum Kauf einer 50 US-Dollar teuren Vollversion nötigt. Bezahlt werden – wenn wundert es – kann nur mit einer gängigen Kreditkarte. Davon ist jedoch dringend abzuraten, da die sensiblen Kreditkartendaten so mit Sicherheit in die falsche Hände geraten.

Die neue Version des Conficker-Wurms hat noch eine weitere Überraschung im Gepäck. Demnach soll sich der Schädling am 3. Mai selbst abschalten, wenn es bis dahin kein neues Update geben sollte. Und wie ich die Wurmschreiber einschätze, ist das Conficker-Ende noch lange nicht in Sicht.

(Michael Friedrichs)

Abgelegt unter

Newsletter

7 Kommentare

  1. Badrat

    Heftig was da jemand programmiert hat, er ist einfach überall der Wurm und was er alles anstellt bzw. wie er arbeitet ist irgendwie unfassbar. Aber ich denke genau das sollte man nicht sagen den der Programmierer diesen Wurmes freut sich bestimmt sowas zu lesen^^

    Mal im ernst, der sollte echt für eine SIcherheitsfirma arbeiten und nicht dagegen, mit so einem können unglaublich. Aber ich finde auch wiederrum wer so eine scheiße macht hats nicht verdient nach ganz oben zu kommen, der gehört hinter gitern. Ich denke mal am 5.Mai kommt dann wohl spätestens der Conficker F wa?

  2. Viktor

    Früher oder später wird die Person wahrscheinlich geschnappt, und dann geht’s in den Knast. Wahrscheinlich so ein armer Hacker der den ganzen Tag vor’m Rechner sitzt und unter Agoraphobie leidet.

  3. nodch

    Er schaltet sich dann ab, weil es bis dahin sicherlich einen besser zahlenden Sponsor gibt! Nun erstmal antesten, als Beta Phase quasi und dann kann man mit den Ergebnissen ganz anders verhandeln, mit dem Rest der Scareware Brut.

  4. lordkanti

    einge feuerwehrmänner legen feuer wenn sie nix zu tun haben, wie sieht das mit softwaresicherheitsprogrammierern aus? hatte eigentlich schon jemand (von den lesenden hier zb) kontakt mit dem conficker oder isses vielleicht nur ein gespenst?

  5. nodch

    War schon bei einigen Kunden die den Wurm gefangen haben, dank mangelhafter Administration der Netzwerke, da hat auch kein installierter Virenscanner geholfen. Waren aber alles Fälle, die es quasi darauf angelegt hatten, also zumindest die Variante B hab ich “in the wild” gesehen, den Rest nur im Labor.

Dein Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Bitte beachte unsere Kommentar-Richtlinien.