Beiträge von Amsterdammer

[Wespennetz]

Downadup ist ein guter Wurm!

1. Er hat bisher keinen Schaden (Aktivierung des Payload) angerichtet
2. Er befällt kaum Stand-Alone PCs
3. Er zeigt, den Betrieben was passieren kann, wenn man kein anständiges Sicherheitskonzept hat.
4. Er verursacht eine innerbetriebliche Diskussion über die magere Budgetirrung der IT-Abteilungen (Updates in Betrieben kosten Geld, ist das Geld im Oktober alle, werden extra Update aufs Neue Jahr verschoben)
5. Die Kosten des Ausfalls und der Reinigung der Systeme haben sich die Betriebe selbst zuzuschreiben. Wer die Fenster nicht zumacht, ist selber schuld, wenn nachts einer einsteigt; in solchen Fällen zahlt keine Versicherung wegen Eigenverschulden.
6. Nach Donwnadup sind die Systeme aufgrund angepasster Sicherheits- Richtlinien sicherer

[/Wespennest]

Die Diskussion ist eröffnet. Bitt auf persönliche Beschimpfungen verzichten

War auch nur so eine Idee, mit dem Zusammenhang. Mit den ganzen Prozentzahlen kann ich eh nichts anfangen, da ich die Anzahl der PC's in China und anderswo nicht kenne. Ausserdem weist F-secure darauf hin

Zitat

Our sinkhole logged just over one million unique IP addresses yesterday. This is compared to 350,000 last Friday. Remember, there may be any number of computers sitting behind a single IP address.

D.h., alles Zahlen egal ob absolut in Millionen oder relativ in % sind Spekulation, Zeitvertreib der AV-Hersteller, da im Augenblick ja nichts passiert mit Downadup und seiner Fracht, außer das der Wurm da ist.

Wo steckt Downadup ?

Von den infizierten Maschinen sind in:

* China ungefähr 15 %
* Russland ungefähr 14%
* Brasilien ungefähr 12%
* ...
* USA ungefähr 1 %

Wo gibt es die meisten Raubkopien von M$ Betriebssystem, die nicht upgedatet werden?

Zitat von .Ulli

Warum sollte es denn zweisprachig sein ? Der Text kommt doch von der aktuellen Sprachversion des Windows.
Ob da nun ein oder zwei Icons sind, bei vielen Personen dürfte da absolut nichts klingeln.

[Autorun]


Action=Open folder to view files
Icon=%systemroot%\system32\shell32.dll,4
Shellexecute=.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

Darum: Open folder... ist Englisch, kommt van Downadup,
der Rest ist Niederländisch, habe ich auf meinem Stick mit NL Betriebvssystem ausprobiert
(Code kommt vom oben verlinkten Artikel)
Bei Euch müsste der rest deutsch sein.
Nur Englischsprachige OS sehen den Unterschied nicht.

Danke, das geht aber schnell, und genau dies Quelle habe ich im Auge

Zitat

So, as you can see, the first part, "Install or run program" is there because Vista detected an autorun.inf file containing the shellexecute keyword. However, the text comes from the Action keyword and the icon is extracted from shell32.dll (the 4th icon in the file) - and it's the standard folder icon!

This can easily fool a user in clicking this one and thinking it will open the USB stick in Windows Explorer instead of the second (the real one). The first option will run Conficker, of course.

Daraus geh hervor, das "Autorun" an sich auch bei infiziertem USB-Stick zu keiner Infektion eines PC führt, sondern erst das klicken auf den durch Downadup angelegten fake-icons.

Zitat

For administrators among you, I would suggest that you disable AutoPlay in your environments

Damit sind Netzwerk-Administratoren gemeint, die durch Deaktivieren des Autorun verhindern wollen, das einer der Nutzer des Netzwerkes versehentlich das Fake-Icon anklickt.

Ich habe für den täglichen Gebrauch einen portable-Apps Stick. Autorun bietet das graue runde Icon mit dem weißen Pfeil an. Wenn das auf einmal durch ein zweisprachige Icon ersetzt ist, klingel doch die Alarmglocken.

Mit andere Worten: Für stand alone pc's, wo jemand der einzige Nutzer ist, ist das deaktivieren von Autorun überflüssig. Mit dem wissen oben verlinkten beitrage ist es sogar möglich, mit einem Augenaufschlag zu sehen, ob Dein Stick infiziert ist, also ob Du damit auf einem infizierten Netzwerk warst. Daher weiß ich auch: das Netzwerk meines Arbeitgebers ist sauber.

Zitat von Madyou

wollen die damit die Geko 1.8.1 für TB weiter am laufen halten?

Ja, das ist wohl der Hintergrund, ist aber Augenwischerei, kein Schwein arbeitet mehr an 1.8.1, die wenigen Thunderbird Driver haben alle Hände mit dem Trunk zu tun, wie der Kommentar #116 zum ärgerlichen (sogenannten) Logitech-Webcam bug zeigt. (Hintergrund: es gibt einen bug, der das update auf neue 2.0.0.x Versionen verhindert, wenn der Treiber einer Logitech Webcam gestartet ist.

Bei jedem Thunderbird update gibt es in den Foren plenty Hilferufe, daß das update mit einer Fehlermeldung abbricht. Der Bug ist gefixt im Trunk, aber den Fix für 2.0.0.x einzucheken, da fehlt die Zeit.
https://bugzilla.mozilla.org/show_bug.cgi?id=452162#c116

Könnt Ihr mir mal bitte erklären, wieso Ihr "Autorun" im Zusammenhang mir Downadup deaktivieren wollt?

Bah !

US-Behörde kritisiert Microsofts workaround zum Abstellen von autorun / autoplay als fehlerhaft und sicherheitsriskant.

Zitat

Disabling AutoRun on Microsoft Windows systems can help prevent the spread of malicious code. However, Microsoft's guidelines for disabling AutoRun are not fully effective, which could be considered a vulnerability.

Das Verändern des zuständigen Regsierschlüssels ist unbrauchbar, um vor einer Infektion des PC durch einen Downadup-infizierten USB-Stick zu schützen. Es muss ein völlig neuer Registerschlüssel importiert werden, steht im verlinkten Beitrag (Englisch)

http://www.us-cert.gov/cas/techalerts/TA09-020A.html

Hier ist heute ein Thread geschlossen worden, weil sich Leute angepöbelt haben, Du beleidigst Leute im Thunderbird Forum, legst ein crossposting in den hiesigen Smalltalk, und schon geh'ts hier weiter. Ich hab keine Lust auf persönliche Attacken im Support Foren und wünsche die gerne unterdrückt. Für persönliche Auseinandersetzungen ist die Funktion der PN in phpBB geschaffen, aber nicht das board selbst. Du hast in dem von mir hier beanstandeten Thread selber gesagt, kann "geclosed"werde. Also bitte wo ist das Problem? Magst gerne noch drauf antworten, ich dann nicht mehr.

Neues Unheil bitte vermeiden

http://www.firefox-browser.de/forum/viewtopic.php?t=68355
zumindest überflüssig und noch nicht mal Small talk

Ok Road-Runner, Downadup-Thread gesperrt, Entscheidung akzeptiert.

Und nun?

Wo geht es jetzt weiter zum Thema ? Der Thread ist knapp 2500x aufgerufen, also auch von vielen Gästen. Willst Du einen Ersatzthread aufmachen, mit entsprechender Einleitung und Beobachtung durch Dich?
Bevor es ein anderer macht?

.Ulli
Das wäre ja ganz sinnvoll, wenn der jetzige Wurm den Administratoren Argument gibt, mehr Geld von den Firmenleitungen zu erstreiten. An unseren Schulen ist das (wie im öffentlichen Dienst so üblich) ein Geldproblem: 3 Jahre lang Netzboot und images auf lokalen Festplatten parallel laufen lassen (bis die zuletzt gekauften PC's abgeschrieben sind), dafür rücken die Beamten bislang kein Geld raus...

Danke .Ulli, jetzt kommen wir der Sache schon näher. Mit Programmen
Bei uns (ich bin Lehrer an einer Schule), geht das so:

Die Schulgemeinschaft ist ein Zusammenschluss von 5 Schulen an 5 verschiedenen Orten mit 900 PCs auf einem Netzwerk. Alle zwei Monate kommt ein Image auf die PCs, in dem sämtliche Updates drauf sind, von A wie Adobe und I wie Internet Explorer bis M wie MozillaFirefox und w wie Windows bis Z, usw. das Image wird von IT-Unternehmen gekauft, ist also budgettiert.

Dies geschieht Online, d.h. zu diesem Zeitpunkt müssen die PC's online sein aber nicht in Gebrauch durch Lehrer oder Schüler. Es muss also zu diesem Zeitpunkt ein "Aufpasser" an jeder Stelle sein, der aufpasst. Sonst gibt's mal einen ungepatchten PC.

So, jetzt übertrage da mal auf Mega-Netzwerke wie Airlines, Banken, Ministerien. Kein Wunder, das es die dann mal erwischt, und die Schlagzeile ist dann da.

Genau, Und jetzt frage Dich mal, wer das in einem Betrieb mit 10.000 PC's machen soll? Z.B. das von Downadup getroffene britische Verteidigungsministerium? Das ist mit Arbeit, Risiken und Betriebsunterbrechungen verbunden, das geht nicht so mal Mittwoch morgens in 15 Minuten... :wink:

1. ist richtig, und der Sophos-Chef hat die Privatnutzer, die regelmäßig ihr System mit Windowsupdate patchen, gelobt. Schimpfe gab es für Betriebe mit low security Netzwerken, also Betrieben, die nicht alle Patches einspielen oder lange warten, weil sie nur 3 oder viermal im Jahr Windows Patches durchführen

Es ist auch etwas anderes, seinen eigenen stand-alone PC zu patchen als einen Netzwerk mit hunderten oder tausenden PCs. Das ist schwierig, arbeitsaufwendig und teuer, führt oft zu Folgeproblemen, weil veränderte Einstellungen gelegentlich mit einem Patch oder Image überschrieben werden und dann das Personal meckert, weil heute was nicht klappt was gestern noch ging. Zur Arbeit kommt dann noch Gemecker der Kollegen. Und: ein vergessener PC, der dann auch noch angegriffen wird, und das ganze Netzwerk hat den Wurm...

Wie ist das eigentlich bei den Forum-Kollegen mit ihren Heim-Netzwerk von 2 oder 3 PCs, wie patchen die eigentlich alle PCs in ihrem Netzwerk, würd mich mal interessieren.

2. Ist nicht ganz richtig, der Wurm ist ungefährlich, seine Ladung (Programme, die Tojaner und Viren nachladen) ist wahrscheinlich (niemand weiß es genau) gefährlich. Musst Dir vorstellen wie die Autos der Selbstmordattentäter im Irak oder Bombay: nicht das Auto ist gefährlich, das den Zaun durchbricht, sondern die Ladung, die im Anschluss explodiert. Bei Downadup ist die Ladung von den Entwicklern noch nicht zur Zündung gebracht worden, worüber die Experten noch rätseln, warum .

Das einzig aktuelle gib'ts im Augenblick nur vom F-Secure Forschungschef, und das ist nicht neu.
Kurz gesagt: Der Wurm schläft z.Zt. auf Millionen Rechnern, aber er hat seine gefährliche Ladung noch nicht freigegeben.

Das Interview
http://news.bbc.co.uk/2/hi/technology/7832652.stm

Panther1, wenn Du Windows so wenig vertraust, dass Du chirurgisch tätig sein musst, solltest Du zu einem anderen Betriebssystem übergehen.

Zitat von 2002Andreas

Da behauptet eine Firma das angeblich 9 Millionen Pc's verseucht sein sollen.
ICH !!! behaupte, das Milliarden Pc's NICHT verseucht sind.
Hat diese Firma die selber gezählt ?

Ja, alle andere haben es abgeschrieben, ich weiß nicht, ob einer das überprüft hat, oder ob es jetzt mehr (Neuinfektionen) oder weniger (Reinigungen) sind.

Was die Programmierer von AV-Software fasziniert, ist der rein technische Vorgang der blitzartigen Verbreitung des Wurmes, so wie die Feuerwehr einen kleinen Brand, der sich rasend schnell auf ein ganzes Hochhaus ausdehnt, akribisch untersucht, um Brandschutz zu verbessern. Und wenn man die Primärquellen der AV-Unternehmen liest, gehört Downadup in die Kategorie der ganz schnellen, wie das nur alle paar Jahre vorkommen. Das Interesse (Sensationslust) der Öffentlichkeit ist daher verständlich, wenn große Namen fallen. Bei Sasser waren es Fluglinien und Banken, jetzt sind es Ministerien.

In der ganzen Diskussion geht unter, das Downadup offensichtlich ein gewaltiges Schadenspotential wie Passwortknacker, Phising, Nachladen von Trojanern usw, in der Fracht hat, das von den Machern scheinbar noch nicht aufgerufen wurde. Zumindest finde ich keine Veröffentlichungen über derartige Ausbrüche. Andere behaupten, Durch einen Programmierfehler ist das ein Rohrkrepierer geworden. Keiner weiß genaues.

Aber was das technische betrifft, gehört der Downadup-Ausbruch nach Ansicht der Experten jetzt schon zu den historisch erwähnenswerten Ausbrüchen

Außer das Downadup Systeme befallen hat ist neben ein paar Spammails, die zu Fake-Seiten mit weiterer Malware leiten, kein weitere Schaden entstanden. Seine Virusfracht hat Downadup noch nicht entfaltet. Zeitbombe oder Rohrkrepierer wegen eines Fehler in der Programmierung, ist scheinbar noch nicht bekannt.
http://www.spiegel.de/netzwelt/web/0,1518,602028,00.html

Das war bei Sasser anders, Sasser hat sofort Systeme heruntergefahren.