[Wien] neues service fuer funkfeuer: malware DNS containment

Erich (spam-protected)
Mo Feb 9 07:44:48 CET 2009


Hallo

Das Blocken find ich gut, nur sind diese DNS Einträge auch auf dem zweiten DNS-Server "verbogen"?
193.238.157.16

sg Erich


-------- Original-Nachricht --------
> Datum: Mon, 9 Feb 2009 00:51:39 +0100
> Von: "L. Aaron Kaplan" <(spam-protected)>
> An: FUNKFEUER <(spam-protected)>
> Betreff: [Wien] neues service fuer funkfeuer: malware DNS containment

> hi!
> 
> ich hab mal auf dem nameserver, den ich betreue (tema.lo-res.org) alle  
> domain names, die der bekannt und beruechtigte "conficker" Wurm  
> verwenden wird, gesperrt.
> D.h. wer  nicht will, dass diese fuer ihn geblockt werden, soll bitte  
> 193.238.157.5 aus seiner /etc/resolv.conf datei rausnehmen (oder in  
> windows den als nameserver austragen).
> 
> 
> Wie funktioniert das ganze?
> - - - - - - - - - - - - - -
> Der conficker Wurm [1] hat konservativen Schaetzungen zu folge 5-9  
> mill. PCs weltweit infiziert [2]. Es war der selbe, der die kaertner  
> Landesregierung  und ein grosses Krankenhaus in Kaerten lahmgelegt hat  
> (das war in den Medien). Es gab aber auch bei anderen grossen  
> Organisationen Infektionen. In der Arbeit hab ich mich ein wenig damit  
> beschaeftigen duerfen [3].
> Auf alle Faelle haben mich Adi Kriegisch und Christoph Schindler auf  
> die Idee gebracht, die gesamte Liste der Domains, die der Conficker  
> Wurm ansurfen wird, als DNS Blocklist zur Verfuegung zu stellen.
> 
> Conficker fragt naemlich regelmaessig nach einem zufaellig generierten  
> Domain Namen nach und versucht sich dorthin auf Port 80 zu connecten.  
> Von dort wuerde der Wurm dann weiteren Schadcode nachladen (zB zum  
> Spam versenden oder fuer phishing[4]). Der Domain Name haengt von der  
> aktuellen Uhrzeit ab. Es gibt 250 verschiedene Domains / pro Tag. Und  
> die Liste aller Domains fuer 365 Tage habe ich in der Arbeit  
> erhalten :) Ergo -> Ich kann diese Domains bei meinem Nameserver auf  
> localhost 127.0.0.1 zeigen lassen.
> Der Effekt ist der, dass wenn ein infiziertes Windows PC nach der  
> aktuell gerade geltenden Domain fragt und die Antwort bekommt " das  
> bist du selber!" . Damit kann er zumindest keinen Schadcode nachladen.
> 
> 
> Was heisst das fuer mich?
> - - - - - - - - - - - - -
> Ganz einfach! Wenn du diesen Schutz von dem Nameserver 193.238.157.5  
> haben willst, dann kannst du ihn (aus dem Funkfeuer Netz heraus) als  
> Nameserver eintragen.
> Wenn wer die gesamte Liste haben moechte (um es zB auf einem proxy zu  
> verwenden), der kann sich gerne auch an mich wenden.
> 
> 
> Idea by:
> Adi und Christoph Schindler
> 
> 
> 
> 
> 
> [1] http://en.wikipedia.org/wiki/Conficker
> [2] http://www.f-secure.com/weblog/archives/00001589.html
> [3] http://www.cert.at/warnings/all/20090114.html
> [4] http://en.wikipedia.org/wiki/Phishing
> 
> 
> --
> Wien mailing list
> (spam-protected)
> http://lists.funkfeuer.at/mailman/listinfo/wien

-- 
Jetzt 1 Monat kostenlos! GMX FreeDSL - Telefonanschluss + DSL 
für nur 17,95 Euro/mtl.!* http://dsl.gmx.de/?ac=OM.AD.PD003K11308T4569a




Mehr Informationen über die Mailingliste Wien