Ich habe im Heise Forum unter http://www.heise.de/security/Conficker-e...ung/135444 das folgende gefunden:
"... Sollte es noch eines Beweises bedurft haben, dass Conficker kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Conficker selbst tut, dann dekodiert er den darin enthaltenen Shellcode. ..."
In der Registry sind ja nun einmal einige relative Pfade mit dieser Syntax.
Könnte hier der Zusammenhang sein? Unter http://www.heise.de/security/Trittbrettf...ung/135515 findest du Hinweise auf Conficker-Removal-Tools.
"... Sollte es noch eines Beweises bedurft haben, dass Conficker kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Conficker selbst tut, dann dekodiert er den darin enthaltenen Shellcode. ..."
In der Registry sind ja nun einmal einige relative Pfade mit dieser Syntax.
Könnte hier der Zusammenhang sein? Unter http://www.heise.de/security/Trittbrettf...ung/135515 findest du Hinweise auf Conficker-Removal-Tools.
--
Matthias
Matthias