Qualys, de leverancier van Software-as-a-Service-oplossingen voor on-demand IT security en compliance management, maakt bekend dat het remote detectie van de Conficker Worm heeft toegevoegd aan QualysGuard® Vulnerability Management. De Conficker worm verspreidt zich sinds november 2008 razendsnel over bedrijfsnetwerken in de hele wereld. De detectiefunctionaliteit is toegevoegd om organisaties in staat te stellen op afstand te bepalen of de vele varianten van de worm voorkomen in het bedrijfsnetwerk en om de verdere verspreiding van de worm in het netwerk tegen te gaan.
Conficker is een worm die zich verspreidt door exploitatie van de Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability die in oktober 2008 is ontdekt. De worm kan zich verspreiden in bedrijfsnetwerken die niet zijn beschermd met sterke wachtwoorden en via geïnfecteerde USB-sticks. Conficker maakt een programmabestand aan dat automatisch geladen wordt op netwerk drives en dat wordt geactiveerd als de gebruiker toegang zoekt tot de drive. Vervolgens verspreid het bestand zich over andere drives die contact hebben met een geïnfecteerde machine. Zodra een systeem eenmaal is geïnfecteerd, blokkeert Conficker elke toegang tot security-gerelateerde websites. Dit maakt het de gebruiker onmogelijk om security software vanaf deze websites te updaten.
Conficker laat op de geïnfecteerde systemen een vingerafdruk achter die op afstand kan worden ontdekt door gebruik te maken van speciale RPC calls. De QualysGuard detectie van Conficker is in QID1227 gecategoriseerd als Urgent, met severity niveau 5. De detectie identificeert alle varianten, inclusief Conficker.A, B, C en W32.Downadup.B. Organisaties worden aangespoord om hun wereldwijde netwerken te scannen teneinde geïnfecteerde systemen op te sporen, om vervolgens Antivirus/Antispyware oplossingen te gebruiken om de infectie op te ruimen en om daarna de Microsoft Patch uit Security Bulletin MS08-067 door te voeren. Eind januari 2009 was 30 procent van alle Windows machines nog unpatched.
"Deze nieuwe detectiemethode stelt IT beheerders in staat het Conficker virus op afstand en rechtstreeks op de geïnfecteerde machines vast te stellen, zonder dat zij hoeven in te loggen op de systemen of op de systemen agents moeten installeren. Voor veel grote ondernemingen betekent dit een mogelijkheid om een snelle en non-intrusive audit uit te voeren op de status van hun patching," zegt Wolfgang Kandek, CTO van Qualys, die heeft deelgenomen aan het multivendor initiatief van afgelopen weekend om deze detectie te implementeren. "Deze doorbraak in security zal veel bedrijven helpen Conficker te temmen en de verspreiding over hun netwerken te stoppen. Speciale dank verdienen Dan Kaminsky en Rich Mogull voor hun inspanningen om de community op zeer korte termijn bij elkaar te krijgen en voor hun hulp bij het aan QualysGuard toevoegen van deze detectie."
Kijk ook op http://laws.qualys.com