#1 31. März 2009 Felix Leder und Tillmann Werner von der Uni Bonn stellen heute die Ergebnisse ihrer Analyse des Con♂️♀️r Wurms vor. Sie beschreiben nicht nur in einem Paper aus der Reihe "Know your Enemy" die Funktionsweise des Wurms sondern sie präsentieren auch eine Reihe von Tools, mit denen man vor dem Wurm imunisieren oder ihn aufspüren und auch sauber entfernen kann. Und schließlich haben sie auch ein Problem entdeckt, über das man anscheinend Con♂️♀️r sogar direkt angreifen könnte. Sollte es noch eines Beweises bedurft haben, dass Con♂️♀️r kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Con♂️♀️r selbst tut, dann dekodiert er den darin enthaltenen Shellcode. Der versucht typischerweise den eigentlichen Wurmcode nachzuladen; die dafür verwendete URL extrahiert Con♂️♀️r aus dem Shellcode und lädt das Wurm-Programm dann selber. Doch damit nicht genug. Con♂️♀️r testet sehr genau, ob es sich um eine aktuellere Version seiner selbst handelt. Er erwartet dazu eine digitale Signatur, die mit einem geheimen RSA-Schlüssel des Wurm-Autors erstellt sein muss. Es ist quasi aussichtslos, Con♂️♀️r auf diesem Weg etwas unter zu schieben; die Entwickler haben für den Wurm einen dezentralen Auto-Update-Mechanismus implementiert, den die Forscher für praktisch unknackbar halten. Trotzdem lassen sich die Ergebnisse von Leder und Werner gezielt gegen den Wurm einsetzen. Indem sie im Hauptspeicher nach den eindeutigen RSA-Keys zum Überpüfen der digitalen Signaturen suchen, können sie die Threads des Wurms gezielt aufspüren und beenden. Außerdem haben sie die eingesetzten Algorithmen für Pseudozufallszahlen und deren jeweilige Initilialisierungsparameter erforscht und nachgebaut. So stellen sie Tools bereit, mit denen man die pseudozufällig ermittelten Domainnamen errechnen kann, zu denen Con♂️♀️r zu einem bestimmten Zeitpunkt Kontakt aufnimmt. Auch die Dateinamen und Registry-Einträge lassen sich mit einem Tool nachbauen. Des weiteren haben sie ein Programm geschrieben, das im System bestimmte Mutexe setzen kann, bei deren Vorhandensein Con♂️♀️r glaubt, das System sei bereits infiziert und deshalb keine Infektion durchführt. Bereits gestern präsentierten die beiden einen Scanner, der Con♂️♀️r übers Netz an den Rückgabewerten bestimmter Funktionsaufrufe erkennt. Und schließlich haben die Honeynet-Experten in Con♂️♀️r dann doch noch eine Schwachstelle in Con♂️♀️r entdeckt. Die Details dazu wollen sie allerdings in Absprache mit der Con♂️♀️r Working Group vorläufig nicht veröffentlichen. Im veröffentlichten Paper heißt es nur noch ominös, dass die Originalversion ein Problem beschrieben habe, das sich "ausnutzen" lasse. Auf Nachfragen von heise Security, ob auf diesem Weg eventuell eine Reinigung übers Netz möglich sei, verwiesen die beiden auf eine Absprache mit der Con♂️♀️r Working Group, die ihnen in dieser Angelegenheit jeden Kommentar untersagt. Damals beim Sturmwurm haben die die Forscher aus rechtlichen und moralischen Erwägungen darauf verzichtet, selbst aktiv gegen die infizierten Zombies vorzugehen. Allerdings war das Sturmwurmnetz zu diesem Zeitpunkt auch bereits recht dezimiert und keine echte Bedrohung mehr. Anders präsentiert sich die Situation bei Con♂️♀️r: Hier spricht man derzeit von mehreren Millionen infizierter Rechner und die internationale Security-Industrie hat sich zur Con♂️♀️r Working Group zusammengeschlossen, um gegen den Wurm vorzugehen. Die hat bereits Tausende von Domains registriert, um ein Update von Con♂️♀️r.A/B auf Version C zu verhindern und eine Prämie von 250.000 US-Dollar auf Hinweise zur Ergreifung der Hintermänner ausgesetzt. Man darf gespannt sein, ob sie jetzt auch Maßnahmen zur gezielten Ausschaltung des Wurms in Betracht ziehen. Quelle: Con♂️♀️r entmystifiziert | heise online + Multi-Zitat Zitieren
#2 31. März 2009 AW: Con♂️♀️r entmystifiziert muss ganz ehrlich gestehen ich kenn mich mit der materie genau null aus aber ich finds immer wieder faszinierend mit welchem engagement (und zwar auf beiden seiten) da gearbeitet wird. wobei natürlich die lösung des problems als viel höher anzusehen ist als den wurm zu coden + Multi-Zitat Zitieren
#3 31. März 2009 AW: Con♂️♀️r entmystifiziert jetzt fehlt halt nur noch ne ordentliche anleitung für alle und dummies wie man ihn denn nun bekämpft und bereinigt. btw: ich finde dieses ganz hin- und her schon krass ...vorallem find ich es lustig dass manche glauben es geschieht nix wenn man morgen net online geht ^^ wenn der druff is, isser druff + Multi-Zitat Zitieren
#4 31. März 2009 AW: Con♂️♀️r entmystifiziert Ah, jetzt verstehe ich xD. Hat aber relativ lange gedauert bis man wusste was der Wurm so drauf hat und wie er aufgebaut ist. Allein das zeigt doch schon, dass dahinter absolute Profis sitzen müssen, da bestimmt kein Laie sowas auf die Beine stellen kann. Super ist natürlich, dass man auch Schwachstellen gefunden hat... So kann man ganz getreu dem Motto "Angriff ist die beste Verteidigung" vorgehen. Wenn er sich noch weiter ausbreitet und mehr Schaden anrichtet wird man's wohl auch tun müssen. Aber erst einmal abwarten was er moin tolles macht + Multi-Zitat Zitieren
#5 31. März 2009 AW: Con♂️♀️r entmystifiziert Hab ich das richtig verstanden dass hier jetz im Prinzip ein Wurm mit nem weiteren Wurm oder Virus oder Trojaner hintergangen wird??? sry leutz hab kein plan davon^^ mfg caine + Multi-Zitat Zitieren
#6 31. März 2009 AW: Con♂️♀️r entmystifiziert das wollte man machen, aber con♂️♀️r hat das nicht zugelassen... hat halt alles was nicht die signatur vom Coder enthielt sofort gelöscht... insofern war der wurm auf dem gänigen weg nicht angreifbar... (einen wurm schreiben der sich als update des wurms tarnt und ihn dann zerstört) zumindest glaub ich das wenn nicht dann haut mich + Multi-Zitat Zitieren
#7 31. März 2009 AW: Con♂️♀️r entmystifiziert ich finde das engagement ebenfalls sehr bemerkenswert.... welch ein interlekt hinter so einem konstrukt steckt muss wohl nicht hinterfragt werden... wenn selbst forscher an einer uni oder wie das nochmal genau war sagen das da keine anfänger am werk waren auch wenn inzwischen jeder beliebige spasst kein anfänger mehr ist gz + Multi-Zitat Zitieren
#8 31. März 2009 AW: Con♂️♀️r entmystifiziert Das ist wirklich sehr interessant zu hören. Bin auch sehr fasziniert darüber wie sehr der Coder versucht hat jede noch so kleine Möglichkeit zu umgehen, das der Wurm gelöscht werden kann. Total krass. Bin gespannt was morgen "angeblich" passieren soll. gruß klaxx + Multi-Zitat Zitieren
#9 31. März 2009 AW: Con♂️♀️r entmystifiziert Und was soll er am 1.April nun machen? + Multi-Zitat Zitieren
#10 31. März 2009 AW: Con♂️♀️r entmystifiziert Finde es auch sehr erstaunlich, dass kein großer Konzern den Wurm so gut "erforscht" hat wie es 2 Personen an einer Uni geschafft haben. + Multi-Zitat Zitieren
#11 31. März 2009 AW: Con♂️♀️r entmystifiziert Ja das kann man so ansehen. Ich finde der Coder, der den Con♂️♀️r programmiert hat einfach genial. Es gibt ja wieder mal gerüchte, dass die Spamer Scene, wahrscheindlich die RBN dahinter steckt. Für mich wäre das auch sehr logisch. Denn RBN hat im Russland-Georgien Krieg gezeigt, zu was ihre Coder fähig sind... + Multi-Zitat Zitieren
#12 31. März 2009 AW: Con♂️♀️r entmystifiziert ja das ist die große letzte frage, was macht er eigentlich? Sehe ich das richtig, dass iwi herausgefunden wurde, dass er morgen aktiv wird. Oder wird das ein Aprilscherz? ich bin gespannt und werde heute Nacht durchmachen, oder weiß da jemand mehr + Multi-Zitat Zitieren
#13 31. März 2009 AW: Con♂️♀️r entmystifiziert Als ob am 1. April schon alle PCs desinfiziert sind. Wenn Microsoft und die Anitviren Firmen schnell reagieren wird der Wurm vll von 80% runter sein, aber sicherlich nicht von allen. Und wenns dann halt nur noch 10 Millionen PCs befallen sind, reicht das auch noch für große Attacken aus. + Multi-Zitat Zitieren
#14 31. März 2009 AW: Con♂️♀️r entmystifiziert wenn dein pc nich mit dem internet verbunden is dann kann er auch nich benutzt werden vom Con♂️♀️r ... is doch logisch ... was findest du daran lustig ????( + Multi-Zitat Zitieren
#15 31. März 2009 AW: Con♂️♀️r entmystifiziert naja wenn du für immer dein internet abschaltest kann der wurm nichts machen aber es ist wirklich lustig das manche leute glauben, dass wenn sie am mittwoch den pc auslassen das der wurm dann erledigt sei und nie aktiviert werden würde ich wette der wurm macht nicht besonders viel... is bestimmt nur eine machtdemo... um auf die sicherheitslücken in den pc's hinzuweisen + Multi-Zitat Zitieren
#16 31. März 2009 AW: Con♂️♀️r entmystifiziert und selbst wenn leute am mi den pc auslassen wird die macht vom wurm eingeschränkt ( an dem besagten tag ).. is doch ganz logisch?! + Multi-Zitat Zitieren
#17 31. März 2009 AW: Con♂️♀️r entmystifiziert Ich frag mich was die Motivation der Entwickler war, einen solchen Wurm zu erschaffen^^ Ich denke wenn man so intellegent ist, dann sollte man auch nicht so krank im Hirn sein um sowetwas zu erschaffen. Trotzdem ist es faszinierend wie man auf so ein System aufbauen kann, das parktisch unendteckt bleibt und insich eine Festung bildet (ebben fast ). + Multi-Zitat Zitieren
#18 31. März 2009 AW: Con♂️♀️r entmystifiziert Vielleicht war die Motivation der Coder ja, der Welt zum 10000000-Mal zu zeigen wie unsicher Microsoft-Systeme sind... Naja .... #wayne für Linux-User :] Und wodurch ist dies mal wieder möglich - richtig dadurch, das min. 90% der Windows-User mit Adminrechten surfen.... Imho ein Meisterwerk der Programmierer, die habens echt drauf. Aber auch Respekt an die beiden Helden, dies geschafft haben das ganze zu verstehen und auch noch ne Lücke im Wurm entdeckt haben. mfg TuXiFiED + Multi-Zitat Zitieren
#19 31. März 2009 AW: Con♂️♀️r entmystifiziert titel is fail. die wissen immer noch nich was morgen passiert und ich frue mich jetzt schon drauf wien kind mit diesem ganzen geheimnistue.. man man die wollen sich nur selbst bekannt machen... + Multi-Zitat Zitieren
#20 31. März 2009 AW: Con♂️♀️r entmystifiziert Verstehe auchnur Bahnhof von der Materie, weiß auch nicht ,was der Wurm so macht! Ich kanns nur net glauben, dass man das Ding nicht löschen oder bekämpfen kann und dass keiner der vielen Antivirus Softwarehersteller irgednetwas dagegen entwickeln konnte. Man muss echt kein Experte sein, um zu sehen, dass da absolute Profis dahinter stecken. vielleicht waren es ja leute von der Industrie....huuhuuuu Die riesen Antivirus-Verschwörungstheorie, na ja kann aber alles möglich sein, wer weiß was die bezwecken! Appropo bezwecken, was bezwecken solche Jungs, indem Sie so ein Programm schreiben, dass soviel schaden verursacht? Was hat man davon , mal ehrlich? Ich raff das net! + Multi-Zitat Zitieren
#21 31. März 2009 AW: Con♂️♀️r entmystifiziert Ich denke mal vor allem Aufmerksamkeit und eben das sie ein Gefühl von Macht haben. Ich meine... 10 Millionen Rechner sind schon infiziert und angeblich werden es immer mehr. Fehlt nur noch das Dan Brown kommt und ein Buch darüber schreibt Dan Brown - The Con♂️♀️r Code + Multi-Zitat Zitieren
#22 31. März 2009 AW: Con♂️♀️r entmystifiziert aha... und wie merkt man, dass man den scheiss auf seiner platte hat? oO oder merkt man das erst morgen? + Multi-Zitat Zitieren
#23 31. März 2009 AW: Con♂️♀️r entmystifiziert Das "Microsoft Windows-Tool zum entfernen bösartiger Software MÄRZ 2009" soll angeblich die Con♂️♀️r Varianten A und B erkennen, wie es mit Variante C aussieht weiß ich nicht. + Multi-Zitat Zitieren
#24 31. März 2009 AW: Con♂️♀️r entmystifiziert Da bin ich ja mal gespannt. Naja mir eigendlich wayne ob ich ihn drauf hab oder nicht, macht meinem Rechner ja so gesehen bisher nichts. Werd heute nacht mal meinen Rechner durchlaufen lassen, weis zwar nicht ob ich ihn hab aber wenn dann haben die Coder meine Unterstützung falls er irgend eine Regierung anfällt. =) mfg. *edit* -------------- Nix Edit, edit is gelöscht Oo -------------- + Multi-Zitat Zitieren
#25 31. März 2009 AW: Con♂️♀️r entmystifiziert das problem ist, dass con♂️♀️r auf windows systemen sitzt die eine sicherheitslücke besitzen, welche schon seit ewigkeiten seitens microsoft gepacht wurde. die chance ist also groß, dass die computer welche mit con♂️♀️r infiziert wurden schon seit ewigkeiten keinen patch gesehen und damit auch das "Microsoft Windows-Tool zum entfernen bösartiger Software MÄRZ 2009" verpasst haben. insofern ist dieses tool höchstwahrscheinlich vollkommen nutzlos... zur updateroutine: die ist in meinen augen nichts weltbewegend neues und spektakuläres. hätte ich auch gemacht, wenn es mir nicht an wissen, willen, zeit und krimineller energie mangeln würde, was das ausnutzen von sicherheitslücken unter windows angeht... + Multi-Zitat Zitieren