Ein Wurm feiert Geburtstag:
Conficker: Altbekannt und dennoch brandgefährlich

von Lars Bube (lars.bube@crn.de)

Share
31.03.2010

Obwohl der angekündigte Großangriff von Conficker (gottlob) zum ersten April 2009 ausblieb, ist der Trojaner weiterhin extrem gefährlich und zeigt gravierende Sicherheits-Mängel in vielen professionellen IT-Umgebungen auf. Mit weiterhin fast sieben Millionen Rechnern in seiner Gewalt, gilt der Wurm unter Antiviren-Experten als »eine geladene Waffe, die jederzeit abgefeuert werden kann«.

(Fortsetzung des Artikels von Seite 2)

Keine Beiträge im Forum. » Diskussion starten!

Mit noch immer fast 7 Millionen Zombie-PCs ist Conficker weiterhin nicht zu unterschätzen. (Bild: Sandor Kacso, Fotolia.com)

Es wäre wohl einer der schlechtesten und fiesesten Aprilscherze aller Zeiten gewesen, wenn der angekündigte Großangriff des Conficker-Wurmes vor einem Jahr tatsächlich stattgefunden hätte. Doch auch wenn sich dieser globale Mega-Angriff zum Glück nicht bewahrheitete, hat Conficker bis heute dennoch kaum an Sprengkraft verloren. So schaffte es der Trojaner etwa selbst Anfang 2010 noch auf die Liste der drei gefährlichsten Viren, indem er für über sechs Prozent der von BitDefender [1] verzeichneten weltweiten Neuinfektionen verantwortlich war (siehe: »Conficker und Co sind nicht tot zu kriegen« [2]).

Laut aktueller Zahlen der Security-Spezialisten von Symantec [3] sollen sich derzeit noch immer um die 6,6 Millionen Rechner in der Gewalt des Trojaners befinden. Damit haben die noch immer unbekannten Hintermänner jederzeit die Möglichkeit, auf diese Computer zuzugreifen und sie für ihre Zwecke zu missbrauchen, oder mit weiterer Malware zu verseuchen. Die meisten der aktuell noch verseuchten Rechner sind mit der Conficker A und B Variante infiziert (6,5 Mio). Conficker C, der eine art peer-to-peer Methode zur Verbreitung, nutzt, stirbt langsam aus und bewegt sich nur noch bei einigen hunderttausend gekaperten Systemen. Völlig verschwunden ist bereits die Variante E, die erst am 8. April 2009 erstmals registriert worden war, sich jedoch schon wenige Wochen danach, am 3. Mai, selbständig wieder löschte.

Ein Jahr nach dem erwarteten Großangriff zeigt sich somit: Die fast schon Mantra-artigen Warnungen der Security-Industrie sind eben doch weitaus mehr als reines Marketing oder gar Panikmache im eigenen (Verkaufs-)Interesse. Über vielen Verantwortlichen, die das nicht glauben und ernst nehmen wollten, hängt Conficker nun noch immer wie ein Damoklesschwert, das die wachsenden Gefahren für moderne IT-Umgebungen symbolisiert.

Geladene Waffe mit enormer Sprengkraft

Die Funktionsweise von Conficker könnte man vereinfacht etwa so beschreiben, dass der Wurm im Netz nach Adressen sucht, deren Türen nicht verschlossen sind (Sicherheitslücke in Windows) und die über keine funktionierende Alarmanlage (Security-Software) verfügen. Findet Conficker solch eine Umgebung vor, injiziert er sich in das System und übernimmt im Hintergrund die Kontrolle. Der Wurm macht sich dabei sozusagen heimlich eine Kopie des Schlüssels zur Eingangstür, damit seine Programmierer jederzeit auf das System zugreifen können.

Und hier liegt auch der eigentliche Super-GAU, den Conficker mehr aufgedeckt als direkt verursacht hat: Der Wurm hat erschreckend deutlich gezeigt, wie schlecht es auf vielen Rechnern um die Absicherung bestellt ist – auch im professionellen IT-Bereich. Gerade in sensiblen Firmennetzen konnte sich Conficker mehrfach erfolgreich einnisten und dabei sogar die Infrastrukturen von wichtigen Unternehmen, Militärs und Behörden infizieren und lahm legen (siehe: »Conficker legt französische Luftwaffe lahm [4]«). Dabei hatte Microsoft bereits ende 2008 einen Patch bereitgestellt, der die entsprechende Sicherheitslücke schloss und Conficker damit den Eintritt verwährte. Auch die großen Antivirenhersteller hatten schnell Updates für ihre Suiten bereit, die dem Wurm den Zutritt verwehrten (siehe: »IT-Verantwortliche vernachlässigen Patches« [5]).

»Sind wir also über den Berg, was Conficker angeht? Wahrscheinlich eher nicht. Es mag weder das bekannteste Botnet sein, noch das größte – zum Beispiel hat das Mariposa Botnetz in seienr Lebenszeit über 11 Millionen rechner in seine Gewalt gebracht - dennoch sollte man Conficker nicht auf die leichte Schulter nehmen. Denn auf der anderen Seite zeigt beispielsweise das Rustock botnet, dass auch ein Botnetz aus »nur« 1,6-2,4 Millionen gekaperten Rechnern für 32,8 Prozent des weltweiten Spams verantwortlich sein kann. Deshalb sollte man nicht unterschätzen, dass die über 6 Millionen Rechner in der Hand von Conficker eine geladene Waffe sind, die jederzeit abgefeuert werden kann.«, so die Einschätzung der Symantec-Experten.

Video zur Geschichte von Conficker

Wie man erkennt, ob Rechner bereits mit Conficker infiziert sind und wie man den Schädling wieder los wird, erklärt Ihnen unser Beitrag: »Kleines Anti-Conficker-Brevier für Normal-User [6]«.

Einen genaueren Einblick zur Geschichte und Entwicklung von Conficker bietet dieses Video von Symantec:

[1] http://www.bitdefender.de/
[2] http://www.informationweek.de/infrastruktur/sicherheit/artikel-74986.html
[3] http://www.symantec.com/de/de
[4] http://www.crn.de/panorama/artikel-41067.html
[5] http://www.informationweek.de/infrastruktur/sicherheit/artikel-75044.html
[6] http://www.networkcomputing.de/netzwerk/sicherheit/artikel-7244.html

Verwandte Artikel