27. November 2008

Der Wurm Win32/Conficker.A, der für diese Meldungen der Microsoft-Kiunden verantwortlich ist, soll sich insbesondere in Firmen-Netzwerken verbreiten. Doch es sollen sich auch "mehrere hundert" private Nutzer weltweit gemeldet haben, die von Problemen berichteten. Einige dieser Meldungen sollen aus Deutschland gekommen sein.

Bei dem Angriff wird zufällig ein Port zwischen 1.024 und 10.000 geöffnet und via HTTP eine Kopie des Wurms geladen. Nachdem der Wurm sich auf dem Rechner breit gemacht hat, wird die Sicherheitslücke von ihm selbst geschlossen, um ein weiteres Exploit (eventuell auch durch einen anderen Wurm-Autor) zu verhindern.

Interessant ist für Microsoft außerdem, dass der Wurm es vermeidet, "ukrainische Computer" zu infizieren. Wie man zu dieser Aussage kommt, wird nicht erläutert. Man sieht aber in dem Umstand, dass aus der Ukraine bisher keine Support-Anfragen kamen eine Bestätigung dieser These.

Links:

• Microsoft Posting
  
• Security Bulletin MS08-067
  
• Posting bei ISC.sans.org