Conficker kehrt zurück

von Lars Bube (lars.bube@crn.de)

Share
16.12.2009

Nachdem der Conficker-Wurm vor knapp einem Jahr weltweit PCs und Rechenzentren infiziert hatte, ist es inzwischen wieder etwas ruhiger um den Schädling geworden. Doch neueste Infektionsstatistiken zeigen klar: Conficker ist wieder da und gefährlicher als je zuvor.

Conficker ist zurück. (Bild: Terminator - Orion Pictures / MGM)

Als der Wurm »Conficker« (auch bekannt als Kido oder Downadup) im Oktober 2010 erstmals auftauchte, war schnell klar, dass es sich hier um einen der bisher gefährlichsten Schädlinge aus dem Web handelt (siehe: Conficker-Wurm legt französische Luftwaffe lahm [1]). Als der Wurm dann im ersten Quartal 2009 über 10 Millionen Rechner weltweit infizierte, erreichte er auch ein bisher nie da gewesenes Medienecho. Einige Virenexperten gingen sogar soweit, den Wurm als »Apokalyptischen Reiter« unter den Trojanern zu bezeichnen und einen dementsprechenden Großangriff für den ersten April vorauszusagen. Als sich dieses Horrorszenario jedoch nicht verwirklichte und die Infektionszahlen im Sommer wieder zu sinken begannen, war das Aufatmen groß und viele vergaßen Conficker genauso schnell, wie er »berühmt« geworden war.

Dabei ist der Wurm alles andere als tot: Dafür ist insbesondere die enorme Anpassungsfähigkeit des intelligenten Wurm-Codes verantwortlich, die ständig zu neuen Varianten des Schädling führt und eine Lücke im Sicherheitslücke im Microsoft Windows RPC(Remote Procedure Call)-Dienst ausnutzt. War der Wurm anfangs noch relativ einfach gestrickt und versuchte hauptsächlich, sich möglichst schnell und breit über angeschlossene Netze weiter zu verteilen, sind heute auch deutlich gefährlichere Versionen unterwegs. So gab es beispielsweise schon bald Conficker-Varianten, die auch USB-Sticks und andere Wechselmedien über ihre Autorun-Funktion in Windows sehr effektiv als Verbreitungsmedium nutzen. Die Variant ConfickerD war es schließlich, die zu den apokalyptischen Netzuntergangsszenarien führte. Sie schuf ein Kommunikationsnetz aus infizierten PCs, über das sich der Schädling einerseits weiter verbreitet und andererseits auch neue »Funktionen« herunterladen kann. Hatten die vorgehenden Varianten noch »lediglich« rund 250 neue Domainnamen pro Tag generiert, bildet ConfickerD täglich 50.000 neue Domainnamen, von denen 500 zufällig ausgewählt werden.

Der Schrecken kehrt zurück

Trotz dieser Weiterentwicklung verlor der Wurm gegen Mitte des laufenden Jahres an Bedeutung und fiel beispielsweise im E-Threat-Report von BitDefender [2] auf Platz fünf in den Bedrohungs-Top 10 zurück. Doch seit einigen Wochen regt sich Conficker wieder. Im November-Report hat sich sein Anteil an den Weltweiten Infektionen im vergleich zum Sommer bereits wieder fast verdoppelt und eroberte damit Platz 3 unter den virtuellen Infektionsgefahren zurück - Tendenz weiter steigend. Lediglich die beiden Trojaner Clicker und AutorunINF verseuchen derzeit noch mehr PCs.

Dabei setzt Conficker auf ein neues Erfolgsrezept: Aktuelle Varianten beschränken den Zugang zu Antimalware-Webseiten von IT-Security-Anbietern und verweigert Usern damit die Ausführung von Windows- und Antivirus-Updates. Zusätzlich installieren die neuen Varianten fehlerhafte »Security-Software«, die dem Nutzer ein sauberes System vorgaukelt, während Conficker sich im Hintergrund an sein Werk macht. Somit schafft er nun nicht mehr nur ein netz aus infizierten Rechnern, sondern hindert duie darin gefangenen Rechner auch daran, sich mit Gegenmitteln zu versorgen. Die Experten von bitDefender sind sich deshalb sicher, dass Conficker auch 2010 eine Bedrohung mit einem großen Gefahrenpotenzial und hoher Wandlungsfähigkeit bleibt.

Sicherheitsrisiko Faulheit

Eines der Hauptprobleme bei der Verbreitung von Conficker ist und bleibt jedoch der Mensch: Ein Patch, der die Lücke in Windows schließt ist schon seit über einem Jahr verfügbar – aber vielerorts immer noch nicht installiert (siehe: Massenhafte Verbreitung des Conficker-Wurms - Administratoren haben geschludert [3]). Zudem wissen viele Anwender und Administratoren noch nicht, dass es inzwischen gleich ein ganzes Bündel effektiver Tools gibt, um infizierte Rechner zu erkennen und wieder von Conficker zu befreien. Einen kostenlosen Schnelltest gibt es etwa hier [4].

BitDefender empfiehlt deshalb grundsätzlich, PCs mit effektiven Security-Lösungen wie BitDefender Antivirus, Internet Security und Total Security zu schützen, die auch proaktiv gegen alte und neue Virengefahren vorgehen.

[1] http://crn.de/showArticle.jhtml?articleID=213401383
[2] http://www.bitdefender.de
[3] http://crn.de/showArticle.jhtml?articleID=212901611
[4] http://www.bitdefender.de/scanner/online/free.html

Verwandte Artikel