Der Virus am 1. April

@Erdwurm

Das ist lächerlich!
Ein Virus ist schlichtweg ein Programm, einfach nur ein Programm was etwas macht was der Benutzer nicht will. Meist böswilliger Natur.
So, sage mir jetzt wie das Programm auf das Stromnetz übertragen werden kann ? Wer empfängt die Daten und führt sie auch noch aus ? Der Toaster mit seinen Heizkörpern ? Wo hat der eine CPU, Speicher, usw. um Programme auszuführen ?
Selbst andere PCs im Netzwerk können nicht 'befallen' werden über das Stromnetz da Strom nur in das Stromnetzteil 'fliesst' und die Daten per Netzwerkkabel reinkommen. Da muss es ein Protokoll geben (meist TCP/IP) usw. so dass die Daten auch gelesen werden können um dann z.B. in ein Programm zurück transferiert bzw erstellt werden kann.

Es gibt auch die Netzwerkadapter für das Stromnetz, aber da müssen auf Sender- und Empfänger-Seite so ein Adapter eingerichtet werden damit die miteinander Daten austauschen können über das Stromnetz. Für den Programmierer als auch den PC ist das unwichtig da nur über die Netzwerkkarte die Daten in den PC reinkommen können, ob das ein Stromadapter oder eine Netzwerkkarte ist, ist dem BS scheissegal....
Daten können nicht über das Strom-Netzteil in den PC kommen, wie soll das gehen ?

ich habs heut morgen in den nachrichten gesehn

Heute ist der 1. April da sollte man mit jeglichen Nachrichten und ähnlichem erstmal skeptisch umgehen.

Ach ja, der erste April :D

conficker gibts trotzdem :P

mcmööp schrieb:conficker gibts trotzdem :P

Ja schrecklich Furchtbar nix is eine null nummer

bezweifle ich, der ist sehr komplex programmiert und ich bezweifle das der anschlag unbedingt alle rechner einfach töten würde^^

das wär zuviel arbeit dafür..^^

Es wurde ja spekuliert das am 1. April der Wurm nur neue Befehle empfängt, diese aber nicht direkt ausgeführt werden sondern erst verzögert wenn sich die Aufregung bissien gelegt hat.

vermut ich auch eher.. denk nicht das das n rohrkrepierer ist.. der ist einfach zu genau geplant und programmiert

april april

nein eben nicht ich glaub du bist uninformiert ôo

Was soll gerade JETZT noch passieren, wo doch die ganze Welt Bescheid weiß.
Frag dich lieber mal, WIESO man Bescheid weiß... Wo doch die ganze Welt vor ein paar Tagen noch gezittert hat und jetzt am angeblich unknackbaren Verschlüsselungsalgorithmus arbeitet...

entspannt euch nicht zu früh, was habt ihr denn erwartet, das sich die festplatte löscht.. ich bitte euch :D

Jetzt könnt ihr eure ganzen Virenschutzprogramme wieder löschen....

.... und euch dann bei der nächsten Virenwarnung richtig teure kaufen.

Also der erste April ist in Europa fast rum, in Asien ganz, in Amerika halb, hat irgendjemand schon Breicht darüber, daß der virus oder Wurm wirklich zu geschlagen hat?

CU m.o.m.n.

Natürlich nicht...

lächerlich der ist einfach zu komplex aufgebaut, klar wird der irgendwann oder irgendwie zuschlagen/zugeschlagen haben

denk mal der 1.april ist grade daher gewählt DAMIT es alle für einen Aprilscherz halten, falls er entdeckt werden sollte, was geschenen ist ;)

Die gute Nachricht vorab: Nein, die PC-Welt wird am Mittwoch nicht untergehen. Die schlechte: Das Update des Conficker-Wurms hat begonnen. Bis zu zehn Millionen Rechner werden zum vielleicht größten Botnet aller Zeiten geschmiedet. Der GAU bleibt aus, aber die Gefahr ist nicht gebannt.

http://www.spiegel.de/netzwelt/tech/0,1518,616698,00.html

#loc_9A995D:
push 20h
push 40h
call dword_9A10C0 ; GlobalAlloc(0x40, 0x20) - alloc 32by
mov edi, eax ; edi = GlobalAlloc() = domain
mov [ebp+ebx*4+var_454], edi
call sub_9A96EE ; eax = generate_random()
push 4
cdq ; sign extends word in eax
pop ecx ; ecx = 4
idiv ecx ; div eax by ecx, remainder in edx
mov [ebp+var_4], 0 ; var_4 = 0
mov esi, edx
add esi, 8 ; esi = edx + 8 (edx -3 to 3)
jz short loc_9A99AC
 jz short loc_9A99AC

oc_9A9989:
call sub_9A96EE ; eax = generate_random()
push eax
call sub_9B3330 ; eax = abs(random_num)
pop ecx
cdq ; edx = 0
push 1Ah
pop ecx ; ecx = 26
idiv ecx ; div eax by ecx, remainder in edx
mov eax, [ebp+var_4] ; eax = var4
add dl, 61h ; dl = dl + 'a'
inc [ebp+var_4] ; var4++
cmp [ebp+var_4], esi
mov [eax+edi], dl ; edi[var] = dl
jb short loc_9A9989 ; if var4 < esi jmp to 9a9989
 jb short loc_9A9989 ; if var4 < esi jmp to 9a9989

oc_9A99AC:
mov byte ptr [edi+esi], 0
call sub_9A96EE ; generate_random()
push 5
pop ecx ; set ecx = 5
xor edx, edx ; set edx = 0
div ecx ; edx = eax % 5
push off_9B53A8[edx*4] ; suffix= .com,.net,.org,.info,.biz}
push edi
call sub_9B3336 ; strcat(domain, suffix)
inc ebx ; ebx = ebx + 1
cmp ebx, 0FAh
pop ecx
pop ecx
jl short loc_9A995D ; check if ebx < 250
mov [ebp+var_8], 1 ; var_8 = 1
 mov [ebp+var_8], 1 ; var_8 = 1

CN 2,649,674 1,265,792 1,558,286 10,923,793 6,361,262
BR 1,017,825 314,574 786,014 10,346,477 18,122,278
RU 835,970 229,497 718,883 8,034,341 23,747,378
IN 607,172 296,544 423,945 22,056,407 11,801,841
AR 569,445 458,403 240,301 59,452,966 17,800,596
TW 413,762 311,305 125,779 15,621,086 4,572,295
IT 374,513 94,210 290,102 2,070,977 11,119,862
CL 280,182 208,514 136,799 90,467,237 35,357,299
UA 274,411 35,422 255,889 1,173,346 7,915,761
MY 212,477 102,099 135,737 4,029,677 2,960,225
KR 201,107 38,340 169,911 939,117 2,657,482
DE 195,923 76,154 122,682 2,635,577 6,931,439
US 191,531 121,323 75,262 10,909,836 4,607,551
RO 182,790 38,497 153,666 2,319,680 7,263,286
CO 169,597 99,603 94,134 10,252,126 5,435,429
TH 165,080 39,000 135,546 4,259,999 2,831,264

---------------------------------------------------------------------------
Copyright by Arcturus
---------------------------------------------------------------------------,

Kann mir bitte jemand verraten was dieser OCaml Code bewirken soll? Ist das eventuell die Codierung vom Conficker-Wurm?

also ähnlich daten sind auf dieser auswertung zu sehen

http://mtc.sri.com/Conficker/ (Archiv-Version vom 01.04.2009)

loc_9A995D:
push 20h
push 40h
call dword_9A10C0 ; GlobalAlloc(0x40, 0x20) - alloc 32by
mov edi, eax ; edi = GlobalAlloc() = domain
mov [ebp+ebx*4+var_454], edi
call sub_9A96EE ; eax = generate_random()
push 4
cdq ; sign extends word in eax
pop ecx ; ecx = 4
idiv ecx ; div eax by ecx, remainder in edx
mov [ebp+var_4], 0 ; var_4 = 0
mov esi, edx
add esi, 8 ; esi = edx + 8 (edx -3 to 3)
jz short loc_9A99AC

loc_9A9989:
call sub_9A96EE ; eax = generate_random()
push eax
call sub_9B3330 ; eax = abs(random_num)
pop ecx
cdq ; edx = 0
push 1Ah
pop ecx ; ecx = 26
idiv ecx ; div eax by ecx, remainder in edx
mov eax, [ebp+var_4] ; eax = var4
add dl, 61h ; dl = dl + 'a'
inc [ebp+var_4] ; var4++
cmp [ebp+var_4], esi
mov [eax+edi], dl ; edi[var] = dl
jb short loc_9A9989 ; if var4 < esi jmp to 9a9989

loc_9A99AC:
mov byte ptr [edi+esi], 0
call sub_9A96EE ; generate_random()
push 5
pop ecx ; set ecx = 5
xor edx, edx ; set edx = 0
div ecx ; edx = eax % 5
push off_9B53A8[edx*4] ; suffix= .com,.net,.org,.info,.biz}
push edi
call sub_9B3336 ; strcat(domain, suffix)
inc ebx ; ebx = ebx + 1
cmp ebx, 0FAh
pop ecx
pop ecx
jl short loc_9A995D ; check if ebx < 250
mov [ebp+var_8], 1 ; var_8 = 1


Figure 4: sub generate domains: append random domain suffix and loop 250 times


The value returned by get_date_from_url is used to compute lpsystemtime (i.e., number of 100-nanosecond intervals since 1601). This is divided by 0x58028e44000 (number of nanoseconds in a week), multiplied by 0x464da5676 and added to 0xb46a7637 (the final two constants are replaced by 0x352c94565 and 0xa3596526 in Conficker B). The final sum is stored in a special memory location, dword 0x9b53c0. This value is used to seed the generate_random() subroutine. The generate_random() functions are essentially identical except that A uses a constant value of 0x64236735 in its floating point computation, which is replaced by 0x53125624 in Conficker B.