Conficker – Entschlüsselt
Das Honeynet-Project hat einen interessanten Report über den Conficker-Virus veröffentlicht (PDF, englisch). Darin wird detailliert beschrieben, wie der Virus arbeitet. Das Besondere an dem Conficker ist u. a., dass er seine Updatefunktion mit einem RSA-Schlüssel signiert. Somit lassen der Schadsoftware keine ungewollten Programmteile unterschieben.
Conficker zieht Updates von Servern, deren Domainname zur Laufzeit berechnet wird. Pro Tag werden dabei 50.000 Domainnamen generiert und die Updateserver zufällig unter diesen ausgesucht. Die Autoren des Report beschreiben den Algorithmus der Domainen-Generierung.
Lesenswert!
Leave a Reply
- Chrome 17 rendert schneller und schützt besser
- Windows 8 Beta am 29. Februar
- Foxconn: Firmenserver gehackt, Petition gegen Arbeitsbedingungen
- iOS-App verschickt Adressbuch an den Hersteller
- Mozilla erwägt Rauswurf der Trustwave CA
- pcAnywhere-Code nach geplatztem Schweigegeld-Deal im Netz
- Anonymous veröffentlicht Dokumente aus Kundus-Ausschuss
- Anonymous veröffentlicht Dokumente aus Kundus-Untersuchungsausschuss
- Verschlüsselung von Satellitentelefonen geknackt
- Bundeswehr setzt auf Open Source und SOA