[Wien] neues service fuer funkfeuer: malware DNS containment

L. Aaron Kaplan (spam-protected)
Mo Feb 9 00:51:39 CET 2009 

hi!

ich hab mal auf dem nameserver, den ich betreue (tema.lo-res.org) alle  
domain names, die der bekannt und beruechtigte "conficker" Wurm  
verwenden wird, gesperrt.
D.h. wer  nicht will, dass diese fuer ihn geblockt werden, soll bitte  
193.238.157.5 aus seiner /etc/resolv.conf datei rausnehmen (oder in  
windows den als nameserver austragen).


Wie funktioniert das ganze?
- - - - - - - - - - - - - -
Der conficker Wurm [1] hat konservativen Schaetzungen zu folge 5-9  
mill. PCs weltweit infiziert [2]. Es war der selbe, der die kaertner  
Landesregierung  und ein grosses Krankenhaus in Kaerten lahmgelegt hat  
(das war in den Medien). Es gab aber auch bei anderen grossen  
Organisationen Infektionen. In der Arbeit hab ich mich ein wenig damit  
beschaeftigen duerfen [3].
Auf alle Faelle haben mich Adi Kriegisch und Christoph Schindler auf  
die Idee gebracht, die gesamte Liste der Domains, die der Conficker  
Wurm ansurfen wird, als DNS Blocklist zur Verfuegung zu stellen.

Conficker fragt naemlich regelmaessig nach einem zufaellig generierten  
Domain Namen nach und versucht sich dorthin auf Port 80 zu connecten.  
Von dort wuerde der Wurm dann weiteren Schadcode nachladen (zB zum  
Spam versenden oder fuer phishing[4]). Der Domain Name haengt von der  
aktuellen Uhrzeit ab. Es gibt 250 verschiedene Domains / pro Tag. Und  
die Liste aller Domains fuer 365 Tage habe ich in der Arbeit  
erhalten :) Ergo -> Ich kann diese Domains bei meinem Nameserver auf  
localhost 127.0.0.1 zeigen lassen.
Der Effekt ist der, dass wenn ein infiziertes Windows PC nach der  
aktuell gerade geltenden Domain fragt und die Antwort bekommt " das  
bist du selber!" . Damit kann er zumindest keinen Schadcode nachladen.


Was heisst das fuer mich?
- - - - - - - - - - - - -
Ganz einfach! Wenn du diesen Schutz von dem Nameserver 193.238.157.5  
haben willst, dann kannst du ihn (aus dem Funkfeuer Netz heraus) als  
Nameserver eintragen.
Wenn wer die gesamte Liste haben moechte (um es zB auf einem proxy zu  
verwenden), der kann sich gerne auch an mich wenden.


Idea by:
Adi und Christoph Schindler





[1] http://en.wikipedia.org/wiki/Conficker
[2] http://www.f-secure.com/weblog/archives/00001589.html
[3] http://www.cert.at/warnings/all/20090114.html
[4] http://en.wikipedia.org/wiki/Phishing

Mehr Informationen über die Mailingliste Wien