Conficker: Das Werk von Profis

von Lars Bube (lars.bube@crn.de)

Share
31.03.2009

Zwei Diplom-Informatiker der Universität Bonn haben den Conficker-Wurm eingehend untersucht und sind dabei unter anderem zu dem Schluss gekommen, dass der Trojaner eindeutig von Profis stammt. Neben weiteren Details fanden sie sogar eine Lücke, über den man Conficker selbst angreifen könnte und stellen Tools zu seiner Beseitigung bereit.

Auch die Erkennungssignaturen von Conficker A und B haben die Informatiker entschlüsselt

Seit nunmehr fast einem halben Jahr macht der Wurm Conficker im Netz seine Runde und sorgt mit spektakulären Infektionen bei Militärs und Behörden und immer neuen, noch fieseren Varianten, für einigen Rummel und Ärger bei IT- und Sicherheitsverantwortlichen. Dabei hätte alles bereits im Oktober 2008 mit einem Patch von Microsoft zu Ende sein können, der die Hintertür schließt, die Conficker für sein übles Treiben ausnutzt. Durch Fehler und Nachlässigkeiten, insbesondere beim Patch-Management, konnte der Trojaner jedoch inzwischen weltweit über 10 Millionen Rechner infizieren und in seine Gewalt bringen. Doch Einzelheiten über den Wurm wurden bisher nur sehr spärlich gefunden und bekannt.

Mit Felix Leder und Tillmann Werner haben sich zwei Diplom-Informatiker der Universität Bonn aufgemacht, diesen Zustand zu ändern. In ihrem heute veröffentlichten Bericht [1] aus der Reihe »Know your Enemy« haben sie den Wurm eingehend analysiert und auch Gegenmaßnahmen zusammengefasst. Nach ihren Erkenntnissen ist Conficker alles Andere als der dumme Streich eines Anfängers: Technische Details wie eine integrierte Versionskontrolle samt intelligentem Update-Verfahren, weisen auf echte Profis hin. Über einen geschickten Mechanismus schafft es der Trojaner, sich selbst stets unauffällig auf dem neuesten Stand zu halten. Die Forscher vermuten, dass dazu eine digitale Signatur eingesetzt wird, die auf einem geheimen RSA-Schlüssel des / der Autoren basiert. Somit ist von dieser Seite nicht möglich, den Wurm zu stoppen oder gar vernichten.

Schwachstelle im Virus

Doch so gut er auch programmiert ist, hat auch Conficker seine Schwächen, wie die zwei Informatiker herausgefunden haben. So konnten sie etwa die Algorithmen für die Pseudozufallszahlen finden und auch reproduzieren. Auch der gefundene RSA-Schlüssel kann dazu eingesetzt werden, im Speicher nach den Threads der entsprechenden Signaturen zu suchen und sie gezielt zu killen. Die Informatiker haben auch einige Tools [2] entwickelt, mit denen sich etwa die vom Wurm verwendeten Domänen- Dateinamen und Registryeinträge nachbilden lassen. Eines der Werkzeuge ermöglicht es außerdem, dem System eine Infizierung vorzugaukeln und somit zu verhindern, dass Conficker sich in einem System einnistet und verbreitet. Wer sich unsicher ist, ob er den Trojaner bereits auf einem Rechner hat, kann sich über einen Scanner der Informatiker online Gewissheit verschaffen.

Zu guter Letzt haben Leder und Werner auch in Conficker selbst eine Schwachstelle entdeckt, die sich gegen den Wurm einsetzen lässt. Allerdings wurden bisher keine weiteren Details zu dieser Hintertür bekannt gegeben, etwa ob sich damit auch das gesamte Netz wieder reinigen lässt. Derzeit will man zuerst mit der Conficker Working Group [3], einem Zusammenschluss großer IT- und Sicherheitsfirmen, darüber beraten, ob und wie dieses Code-Problem gegen Conficker eingesetzt werden kann. Viel Zeit könnte ihnen dabei nicht mehr bleiben, wenn Conficker wirklich, wie von einigen Experten befürchtet, am 1. April losschlagen soll.

[1] http://www.honeynet.org/papers/conficker
[2] http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
[3] http://www.confickerworkinggroup.org2

Verwandte Artikel