April Virus
lima-city → Forum → Die eigene Homepage → Internet Allgemein
april
attentat
bekommen
code
datum
entfernen
frage
glauben
mathe
mensch
programm
programmierer
sache
server
sicherheitssystem
sprache
system
update
virus
wurm
-
"Heute, 1. April 2009, soll ein gefährlicher Virus im Netz unterwegs sein, der wahrscheinlich die ganzen Sicherheitssysteme lahm legen wird und der dann versucht andere Geräte zu infizieren wenn er erst mal eingedrungen ist."
Habt ihr schon vom April Virus gehört? Ich kann's mir ehrlich gesagt nicht vorstellen und glaube eher, dass es ein April Scherz ist. Es hat sich schon weit verbreitet und man wird schnell fündig wenn man bei Google "April Virus" eintippt. Es wäre ja schon ziemlich dumm so etwas anzukündigen, aber da es schon etwas eher bekannt ist wäre es ein wenig früh für einen April Scherz? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Der Wurm nennt sich Conficker und soll heute aktiv werden.
Allerdings legt er nicht die Sicherheitssysteme lahm. Betroffen sind meist nur ungeschützte Systeme.
Bei mir in der Arbeit und privat ist gar nix gelaufen. Virenscan hat auch nix ergeben.
Allerdings habe ich schon einen Bekannten gehabt, der dem Conficker zum Opfer gefallen ist. -
Das ist ja mal ein geiler name, Conficker
Woher weiß man denn eigentlich von dem Virus, wer ist so blöd und kündigt ein "Attentat" an? -
mapledev schrieb: Das ist ja mal ein geiler name, Conficker
Woher weiß man denn eigentlich von dem Virus, wer ist so blöd und kündigt ein "Attentat" an?
Reverse Engineering -
Das gabs schon früher, daß Viren einfach an einem bestimmten Tag erst aktiv werden. Der 1. April ist natürlich von jeher sehr beliebt gewesen... Programmierer haben halt auch einen gewissen Sinn für Humor.
Bisher waren diese Viren, die zu einem bestimmten Datum erst aktiv werden, eigentlich eher von der unschädlicheren Variante.
mapledev schrieb: Woher weiß man denn eigentlich von dem Virus, wer ist so blöd und kündigt ein "Attentat" an?
Wer hat denn ein Attentat angekündigt? Es gibt auch noch andere Möglichkeiten das herauszufinden
-
Der Virus sollte nicht am ersten April "ausbrechen" oder "aktiv werden" - sondern Updates nachladen. Das hat er schonmal gemacht, damals wars Conficker A, dadurch isser zu Conficker B geworden. Und danach nochma - da wurde er dann Conficker C. Es gibt keinen Grund, zu glauben, dass bei diesem Update (welches wohl nicht stattgefunden hat) oder dem sicherlich kommenden nächsten Update irgendwas bemerkenswertes passieren sollte, ausser, dass er halt effektiver wird, darin, in Systeme einzudringen und sich zu verbreiten. Bisher hat Conficker noch nichts angestellt (also, im eigentlichen Sinne angestellt, also Dateien oder Systeme zerstört).
Conficker ist halt einfach derzeit in aller Munde, zusammen mit dem Datum war das dann ne Schlagzeile zur Panikmache wert. Sicher besteht die Möglichkeit, dass das nächste Update dann wirklich böse wird, aber das hätte auch bie den letzten beiden Updates passieren können, und da gab's nicht so nen Rummel.
Also, besorgt euch das Entfernungstool fürn Conficker und ihr braucht auch keine Panik haben.... -
Ich hatte irgendwo gelesen, dass sogar System der Französischen Luftwaffe befallen sind und die würde ich intuitiv nicht unbedingt als "ungeschützt" bezeichnen. Auch habe ich gelesen, dass sich die Sicherheitsfirmen mittlerweile zusammen tun, um ihn gemeinsam zu killen, weil sies alleine schon nicht mehr gebacken bekommen. Aber ich frage ich mich da einige Sachen:
1. Wenn man weiss, dass er updatet, wieso schaut man nicht, wo er die Daten her holt ? Das müsste doch der Server des Programmierers sein.
2. Wieso ist es eigtl so schwer diesen Virus zu killen ?
3. Wieso ändert man die Update IP nicht in eine eigene Server-IP, von der der Virus dann gefaketen Code zu sich lädt, der ihn zerstört ? (Stichwort: Viren, die Viren befallen)
Liebe Grüße
- VampireSilence -
vampiresilence schrieb:
Ich hatte irgendwo gelesen, dass sogar System der Französischen Luftwaffe befallen sind und die würde ich intuitiv nicht unbedingt als "ungeschützt" bezeichnen. Auch habe ich gelesen, dass sich die Sicherheitsfirmen mittlerweile zusammen tun, um ihn gemeinsam zu killen, weil sies alleine schon nicht mehr gebacken bekommen. Aber ich frage ich mich da einige Sachen:
1. Wenn man weiss, dass er updatet, wieso schaut man nicht, wo er die Daten her holt ? Das müsste doch der Server des Programmierers sein.
2. Wieso ist es eigtl so schwer diesen Virus zu killen ?
3. Wieso ändert man die Update IP nicht in eine eigene Server-IP, von der der Virus dann gefaketen Code zu sich lädt, der ihn zerstört ? (Stichwort: Viren, die Viren befallen)
Liebe Grüße
- VampireSilence
1. Es gibt mindestens 500 IP-Nummern von denen er immerwieder eine neue verwendet. Er wechselt mindestens einmal am Tag und man weiß nicht was als nächstes kommt.
2. Ganz einfach -> die meisten Leute sind nicht aktuell (MS Updates) bzw. es ist ein Wurm -> der macht sich nicht mehr als notwendig bemerkbar vllt hast du ihn auch und weißt es nur nicht
3. Ganz einfach -> es ist binärcode -> das kann man nichtmehr ändern bzw. wenn man es verändern könnte dann könnte man ihn auch gleich entfernen
ER ist echt gerissen programmiert und ich schätze es war ein Unfall wie bei I LOVE YOU. Aber die wirkliche Gefahr geht von Trittbrettfahrern aus.
-
vampiresilence schrieb:
1. Wenn man weiss, dass er updatet, wieso schaut man nicht, wo er die Daten her holt ? Das müsste doch der Server des Programmierers sein.
wenn man in der lage ist ein derartig subtiles stück code zu schreiben wird mann es kaufm zu seinem eigenen server funken lassen und wenn dann nur über ausreichende umwege um die ganze welt.
reimann schrieb:
3. Ganz einfach -> es ist binärcode -> das kann man nichtmehr ändern bzw. wenn man es verändern könnte dann könnte man ihn auch gleich entfernen
das ist so nicht ganz richtig
man kann binärcode decompilieren wenn man die sprache kennt inder das programm geschrieben wurde und die platform kennt auf der es kompiliert wurde, es bleibt allerdings ein ziehmlich schwieriges unterfangen das für einen billigen virus vom aufwand her nicht in frage kommt -
Ausserdem gibt es ein Entfernungstool, mensch.
Wenn du Gegenmaßnahmen ergreifst, um dich vorm updaten zu schützen '(weil du weisst, dass du befallen bist), dann kannst du ihn auch gleich einfach entfernen
Das Problem sind die vielen Menschen, die nicht wissen, dass sie befallen sind und keine Updates installieren (z.b. weil Microsoft über Updates auch gerne mal gecrackte Versionen deaktiviert +grumml+).
Und was die IP's angeht: Die werden nach einem Muster berechnet, es sind pro Tag bei Conficker C nicht nur 500, sondern ein paar zigtausend, soweit ich informiert bin, von denen dann 500 zufällig ausgewählt werden. D.h. es wird auf gut Glück runtergeladen, vielleicht nur eines von 100 Systemen bekommt das update, aber dafür lassen sich die entsprechenden Domains nicht blocken. Die Weiterverteilung des Updates zu den adneren 99 Systemen erfolgt dann über die Perr-to-peer-Fähigkeiten von Conficker. Was das einschleusen von Vernichtungscode angeht: Jeder Code, den Conficker ausführen soll, muss digital signiert sein mit dem privaten Key des Programmieres, sonst wird er nicht ausgeführt. Sprich, der einzige, der sowas könnte, wäre der Programmierer.
Also, glaubt man nicht, der Wurm wäre schlecht programmiert, so ist das nicht, da wurde schon an alles gedacht. -
Das erinnert mich gerade unheimlich an E. coli K12 aus der Genetikvorlesung. Äußerst rafiniert.
Also ich habe keine Ahnung von Virenprogrammierung, aber wäre es nicht denkbar Pakete mit zufälligen Keys zu erstellen (Bruteforce) und auf diesem Wege irgendwann zufällig den Richtigen zu finden ?
Ich meine wenn militärische Komplexe betroffen von diesem Ding sind, wird es allerhöchste Eisenbahn dessen Vernichtung etwas Relevanz einzuräumen. Nicht auszudenken, was er auf diesen Rechnern alles anstellen könnte.
Liebe Grüße
- VampireSilence -
na ja eine brute force attake wäre je nach länge und komplexität des schlüssels ziehmlich langwierig aber das können unser mathe asse besser abschätzen als ich.
Die wahrscheinlichkeit ist groß das ein update während dessen diese minimale möglichkeit beseitigt, ebenso könnte per update der jeweis passende schlüssel geändert werden, die idee ist lieder ziehmlich gut.... -
fatfox schrieb:
na ja eine brute force attake wäre je nach länge und komplexität des schlüssels ziehmlich langwierig aber das können unser mathe asse besser abschätzen als ich.
"Ziemlich langwierig" bedeutet in diesem Fall "nicht in Polynomialzeit lösbar" und das bedeutet "unmöglich".
Ich mein, das wäre ja noch schöner. Die Sicherheit von Conficker beruht auf den gleichen Algorithmen wie die Sicherheit beim Online-Banking, beim Online-einkauf, beim elektronsichen Reisepass... Nein, wir wollen gar nicht, dass sowas zu brechen ist. -
fatfox schrieb:
das ist so nicht ganz richtig
man kann binärcode decompilieren wenn man die sprache kennt inder das programm geschrieben wurde und die platform kennt auf der es kompiliert wurde, es bleibt allerdings ein ziehmlich schwieriges unterfangen das für einen billigen virus vom aufwand her nicht in frage kommt
Aber dann hast du es ja nicht umgeschrieben, sondern eher neu geschrieben. Den Conficker veränderst du ja dadurch nicht, du würdest eher noch einen erschaffen. -
@mapledev
das decompilieren ist eine methode um den quellcode von bereits compilierter software zu erhalten das kann helfen einen wirksamen schutz zu entwickeln indem man z.B. bestimmte funktionen sperrt / entfernnt die das schadprogramm benutzt
bitte lies genauer bevor du etwas im falschen zusammenhang darstellst, es ging dabei um die frage wie man dem virus auf die schliche kommen kann um zu verstehen was er wirklich tut, das thema mit dem selbstupdate kam erst später auf.
Beitrag zuletzt geändert: 2.4.2009 17:37:43 von fatfox -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
