Felix Leder und Tillmann Werner von der Uni Bonn stellen heute die
Ergebnisse ihrer Analyse des Conficker Wurms vor. Sie beschreiben nicht
nur in einem Paper aus der Reihe „Know your Enemy“ die Funktionsweise
des Wurms sondern sie präsentieren auch eine Reihe von Tools, mit denen
man vor dem Wurm imunisieren oder ihn aufspüren und auch sauber
entfernen kann. Und schließlich haben sie auch ein Problem entdeckt,
über das man anscheinend Conficker sogar direkt angreifen könnte.
Indem sie im Hauptspeicher nach den eindeutigen RSA-Keys zum Überpüfen
der digitalen Signaturen suchen, können sie die Threads des Wurms
gezielt aufspüren und beenden. Außerdem haben sie die eingesetzten
Algorithmen für Pseudozufallszahlen und deren jeweilige
Initilialisierungsparameter erforscht und nachgebaut. So stellen sie
Tools bereit, mit denen man die pseudozufällig ermittelten Domainnamen
errechnen kann, zu denen Conficker zu einem bestimmten Zeitpunkt
Kontakt aufnimmt. Auch die Dateinamen und Registry-Einträge lassen sich
mit einem Tool nachbauen. Des weiteren haben sie ein Programm
geschrieben, das im System bestimmte Mutexe setzen kann, bei deren
Vorhandensein Conficker glaubt, das System sei bereits infiziert und
deshalb keine Infektion durchführt. Bereits gestern präsentierten die
beiden einen Scanner, der Conficker übers Netz an den Rückgabewerten bestimmter Funktionsaufrufe erkennt.
Tags:
- uni bonn conficker
- registry einträge entschlüsseln
- conficker registry
- conficker registry
- conficker registry