[Warning] Warnung vor Wurm Conficker/Downad

Otmar Lendl lendl at cert.at
Sat Jan 10 18:20:56 CET 2009 

Computerwurm bedroht Behörden- und Firmennetzwerke

10. Jänner 2009

Beschreibung:

Die im November von Microsoft gefundene und gepatchte Schwachstelle im
RPC-Dienst von Microsoft Windows wird aktiv von Schadsoftware ausgenutzt.
Innerhalb eines LANs nutzt der Wurm dann auch andere Methoden zur
Weiterverbreitung.

Auf diese Art wurden in der letzten Woche die IT mehrerer grösserer
österreichischer Organisationen lahmgelegt.

CERT.at bittet um erhöhte Vorsicht, auch wenn der Patch zu MS08-067
eingespielt wurde.

Hintergrund:

Microsoft hatte schon im initialen Advisory im Oktober darauf hingewiesen,
dass diese Schwachstelle das Potential hat, von einem Wurm zur Verbreitung
genutzt zu werden. Es ist daher kein Fehlverhalten von Benutzern nötig,
damit der Wurm weitere PCs infiziert.

Die aktuell im Umlauf befindlichen Würmer kombinieren die Ausnutzung von
MS08-067 mit traditionellen Fortpflanzungstechniken wie das Durchprobieren
von Passwörtern oder das Ablegen von Kopien in Shares.

Diese Kombination von Verbreitungsmethoden hat dazu geführt, dass es der
Wurm geschafft hat, sich auch in geschützten Umgebungen auszubreiten. Dazu
ist es nur nötig, dass ein einziges infiziertes System innerhalb des LANs
aktiv wird.

Eine reine Sicherung der Netzwerkgrenzen ist daher nicht genug, wenn
Laptops oder alternative Netzzugänge (UMTS, ...) Löcher in diesen
Verteidigungsring brechen.

Schaden:

Der Wurmcode selber enthält (nach den bislang bekannten Information) keine
Schadfunktion, er lädt aber aus dem Internet Programme nach und startet
diese. Schadfunktion (z.B. Keylogger, Spamversand, ...
) können daher nicht ausgeschlossen werden.

Als Seiteneffekt der Fortplanzungsversuche kann es auch zu gesperrten
Accounts (wegen des Passwortratens) und hoher Last auf den internen Servern
kommen.

Empfehlungen:

* Aktualisieren Sie Ihre Windows-Installationen, insb. sollte MS08-067
eingespielt sein.

* Überprüfen Sie den Stand Ihrer Antiviren Software. Insbesondere ist
es wichtig, dass auch das RAM gescannt wird, da bei der Ausbreitung per RPC
Dienst der Wurm gar nicht auf die Platte geschrieben wird.

* Sorgen sie für nicht-triviale Passwörter.

* Achten Sie darauf, dass mobile Geräte (z.B. Laptops) nicht den Wurm in
Ihr Netz tragen.

* Erhöhtes Monitoring Ihres Netzes, etwa:

  - Beobachten Sie die Namensauflösungen der Clients: der Wurm frägt
bestimmt Domains ab. (Siehe Links)

  - Beachten Sie Meldungen zu fehlgeschlagenen Logins

  - Beobachten Sie ihrer Proxy-logs: die nachgeladene Software kommt
derzeit von bekannten Domainnamen.


Weitere Information:

http://www.f-secure.com/weblog/archives/00001574.html
http://www.f-secure.com/weblog/archives/00001576.html
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
http://isc.sans.org/diary.html?storyid=5653
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1

-- 
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
//       CERT.at    --      http://www.cert.at/




-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 250 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090110/626d532f/attachment.sig>

More information about the Warning mailing list