Waarschuwing van Norman over de worm W32/Conficker: die is nog steeds een actieve bedreiging



De W32/Conficker is een worm die zich verspreidt in netwerken en die wereldwijd al miljoenen computers heeft geïnfecteerd sinds hij de eerste keer werd ontdekt in het najaar van 2008. De worm is erg moeilijk te herkennen, omdat hij geen enkel bericht of waarschuwing vertoont als hij de computer heeft geïnfecteerd.

Er zijn diverse varianten, en een van de eigenschappen van de worm is zijn capaciteit zich naar andere machines te verspreiden middels een kwetsbaarheid in de Windows Server Service, die het mogelijk maakt op afstand een code te laten uitvoeren. Microsoft heeft in oktober 2008 een patch hiervoor vrijgegeven. Deze patch voorkomt dat de worm zich verder verspreidt. Echter de worm is ook voorzien van andere mechanismen, zoals verspreiding via Windows shares en door middel van geïnfecteerde USB sticks.

Er is een nieuwe â€Å“versie W32/Conficker.C snel aan het opdagen. Deze versie werd voor het eerst ondekt in februari 2009 en heeft een aantal â€Å“verbeteringen ingevoerd om tegenmaatregelen te ontwijken.

Voorbeelden van sommige van deze nieuwe functionaliteiten van W32/Conficker.C zijn:

Een uitgebreide â€Å“call home functionaliteit om een verbinding te maken met een â€Å“Command en Control server (een commandocentrum dat gebruikt wordt om de geïnstalleerde wormen te beheren) ten behoeve van het updaten en wijzigen van de payload. Er worden meer dan 50 000 nieuwe URL´s per dag gegenereerd. Dit maakt de â€Å“URL blokkeer benadering om de worm te stopen en blokkeren des te meer uitdagend.
De worm verschijnt in vele varianten (polymorf). Deze varianten worden dynamisch gegenereerd door toepassing van polymorfische encryptie en compressie algoritmen.
De worm stelt zowel antivirus en antispyware functies buiten werking alsmede security services en â€Å“forensic/system tools zoals filemon, regmon, wireshark etc.

Hoe Norman detecteert en voor bescherming zorgt:
Er worden voordurend nieuwe virushandtekeningen (code waaraan een virus herkend kan worden) toegevoegd van nieuwe varianten van de worm om bescherming te bieden tegen nieuwe varianten.
DNA Matching signature protection van diverse versies is onderdeel van Norman antivirus producten.
Deze worm werd voor het eerst ontdekt door Norman antivirus producten op 27 november 2008. Daarna zijn er voortdurend nieuwe varianten toegevoegd.

Om de worm en zijn kwaadaardige onderdelen compleet te verwijderen, raden wij aan Norman Malware Cleaner te gebruiken. Updates die de kwetsbaarheden van Microsoft repareren zijn beschikbaar in Windows automatische update mechanisme voor systemen die dat ondersteunen.
Men kan ook updates downloaden van http://windowsupdate.microsoft.com

Norman adviseert alle betreffende gebruikers om zo snel mogelijk de beveiligingsupdates te downloaden om zo beveiligd te worden tegen potentiële veiligheidslekken.

Ga voor meer informatie en details over W32/Conficker naar
http://www.norman.com/Virus/Virus_descriptions/54793/

Voor meer informatie, neem s.v.p. contact op met:
Are Føllesdal Tjønn, CTO, +47 415 39 750
Jan van Wissen, Product Marketing +31 (0)23 78 90 222



Comments are closed.
%d bloggers liken dit: