Will Astaro Block Conficker.C domain list?

I would hope that there's an IPS rule already defined that can block this (maybe not by domains, but due to the nature of the connection traffic).

I would hope that there's an IPS rule already defined that can block this (maybe not by domains, but due to the nature of the connection traffic).

I agree, Scott - I can't imagine it would be practical to try to block 50,000 random IP addresses.  I haven't heard about other vendors supplying text files, maybe someone could give us a link or a name?

Thanks - Bob

I just thought to open a similar thread how to prevent from Conficker C.

In my point of view it's impossible to block Conficker URL request, because these URLs are created randomly! Only 500 of these 50000 URLs will be requested. The TLD which will be requested are also created from an list of 116 suffix. 

[HTML]"ac" , "ae" , "ag" , "am" , "as" , "at" , "be" , "bo" , "bz" , "ca" , "cd" , "ch" , "cl" , "cn" , "co.cr" , "co.id" , "co.il" , "co.ke" , "co.kr" , "co.nz" , "co.ug" , "co.uk" , "co.vi" , "co.za" , "com.ag" , "com.ai" , "com.ar" , "com.bo" , "com.br" , "com.bs" , "com.co" , "com.do" , "com.fj" , "com.gh" , "com.gl" , "com.gt" , "com.hn" , "com.jm" , "com.ki" , "com.lc" , "com.mt" , "com.mx" , "com.ng" , "com.ni" , "com.pa" , "com.pe" , "com.pr" , "com.pt" , "com.py" , "com.sv" , "com.tr" , "com.tt" , "com.tw" , "com.ua" , "com.uy" , "com.ve" , "cx" , "cz" , "dj" , "dk" , "dm" , "ec" , "es" , "fm" , "fr" , "gd" , "gr" , "gs" , "gy" , "hk" , "hn" , "ht" , "hu" , "ie" , "im" , "in" , "ir" , "is" , "kn" , "kz" , "la" , "lc" , "li" , "lu" , "lv" , "ly" , "md" , "me" , "mn" , "ms" , "mu" , "mw" , "my" , "nf" , "nl" , "no" , "pe" , "pk" , "pl" , "ps" , "ro" , "ru" , "sc" , "sg" , "sh" , "sk" , "su" , "tc" , "tj" , "tl" , "tn" , "to" , "tw" , "us" , "vc" , "vn" [/HTML]

I guess the only way to check if a network is infected by Conflicker C is to block all above listed suffix.

An other but user unfriendly way is to implement a temporary User Authenticaton on the proxy. This will also prevent Conficker C from requesting URLs.

In both cases the logs have to be checked permanently.

Everybody who wants have further information about this bastard Conficker C I recommend to have a look at the following URLs

An Analysis of Conficker C
Locate Conficker infected hosts with a network scan! - isc
April 1st - What Will Really Happen? - isc


//just seen that Conficker will create requests on TCP/80. Maybe an updated Proxy configuration could help .. 

cheers

Yes, the http proxy sounds like the best place for blocking a URL list like that.
Dunno if Astaro has blocked it though.

Barry