SpicyLemon | Nieuws | Nieuwe variant Conficker maakt niet langer verbinding met domeinen

Kies een product

ESET NOD32 Antivirus

ESET Smart Security

ESET Mobile Antivirus

Caretaker Spamfilter

ESET BETA Software

Terug naar overzicht

Nieuwe variant Conficker maakt niet langer verbinding met domeinen

SpicyLemon ESET noemt nieuwe variant Win32/Conficker.AQ

Sliedrecht, 10 april 2009 - SpicyLemon maakt bekend dat ESET een nieuwe variant heeft ontdekt van de Conficker worm die zich op een bijzondere manier onderscheidt van de eerdere versies. De nieuwe worm legt geen contact met enig 'control domain' terwijl het eerder opereerde met 50.000 nieuwe domains per dag. Conficker en de enorme omvang van het bijbehorende botnet (een netwerk van geïnfecteerde PC’s) hebben de afgelopen dagen veel media-aandacht gekregen.

De nieuwe variant, ontstaan op 7 april, communiceert alleen binnen het eigen peer-to-peer netwerk. Het bestaat uit twee componenten. Het server-deel besmet kwetsbare PC's in het netwerk en installeert zo het client-deel. Deze clients worden dan onderdeel van het Conficker botnet.

Het is een interessante eigenschap van de worm-code dat na 3 mei het server-deel automatisch wordt gedeactiveerd en van de PC verwijderd. Het botnet zal echter ook na deze datum gewoon actief blijven. Conficker blijft daarmee een van de grootste bedreigingen van dit moment.

Stealth Mode
Rick den Breejen, bij SpicyLemon Senior Consultant Support voor ESET, geeft aan dat de worm met deze nieuwe eigenschap de mogelijkheid lijkt te hebben om in ‘stealth mode’ te gaan: “Het is de eerste keer dat we het equivalent van de windows update nu ook voor een worm zien. De toevoeging van een vervaldatum maakt het waarschijnlijk dat er een soort updatemechanisme bestaat, waarbij de worm voor de vervaldatum weer wordt ge-update. Mocht de worm door het gebruik van security software zijn ontdekt, dan zal de update niet doorgaan, zodat de opdrachtgever precies weet wat de status van het systeem is. Misbruik van het systeem blijft dan nog steeds mogelijk. “Net als in eerdere varianten maakt Win32/Conficker.AQ misbruik van de Windows MS08-067 kwetsbaarheid. Het wordt iedere PC-gebruiker daarom aangeraden zijn systeem voortdurend up-to-date te houden voor wat betreft de beveiligingssoftware.

Hotlinks
- Download verwijdertool Conficker
- Blogposts ESET over Conficker
- Meer informatie op de support van NOD32 Nederland