Interview zum Wurm Downadup/Conficker
»Der Wurm-Autor musste nachbessern«

SicherheitSicherheitsmanagementVirus

Der Wurm Downadup alias Conficker verbreitet sich derzeit massenhaft. PC Professionell sprach mit dem Sicherheitsspezialisten Marcus Rapp von F-Secure über die Herkunft und die Besonderheiten des Schädlings und wie man sich vor ihm schützt.

Verschiedene Verbreitungsmethoden

 

PC Professionell: Herr Rapp, warum ist Downadup derzeit so viel erfolgreicher als andere Würmer?

Marcus Rapp: Das liegt in erster Linie an den verschiedenen und teilweise sehr trickreichen Methoden, die der Wurm nutzt, um sich zu verbreiten. Neben dem Ausnutzen einer bereits im Herbst von Microsoft gepatchten Sicherheitslücke wird unter anderem auch Social Engineering eingesetzt.

Der kombinierte Einsatz verschiedener Verbreitungsmethoden sowie die relativ junge Sicherheitslücke verhalfen dem Wurm hier offensichtlich zu einem hohen Verbreitungsgrad. Dabei musste der Wurmautor allerdings erst nachbessern, denn die erste Wurm-Variante verbreitete sich nur langsam, erst eine Modifizierung des Schadcodes verhalf Downadup zu seiner rasanten Verbreitung.

PCpro: Gibt es Hinweise auf den Urheber des Wurms?

Rapp: Wahrscheinlich stammt er aus der Ukraine. Wir glauben das deshalb, weil der Wurm als erstes prüft, ob ein Computer ein ukrainisch konfiguriertes Keyboard hat.

PCpro: Auf wie vielen PCs hat sich Downadup mittlerweile eingenistet?

Rapp: Die exakte Zahl zu bestimmen, ist sehr schwer. Aber F-Secure hat versucht, anhand eines Honeynets in das Netz der Würmer hineinzuhorchen und anhand der Anfragen eine Zahl zu ermitteln. Das war möglich, da F-Secure den Algorithmus entschlüsseln konnte, der bestimmt, zu welchem Zeitpunkt welche Domains von dem Wurm genutzt werden, um sich von dort Anweisungen oder neue Module und Funktionen zu laden. Einige dieser Domains konnten wir registrieren und somit den eingehenden Verkehr dort analysieren. F-Secure geht von einem Peak von etwa 10 Millionen infizierten PCs aus.

Momentan sind gut 1 Million IP-Adressen, hinter der ja eine beliebige Anzahl von Rechnern stehen können, infiziert. Die meisten infizierten IP-Adressen sind in Russland, China und Brasilien registriert.

PCpro: Ist Downadup nur ein harmloser Schädling, der sich möglichst weit ausbreiten will oder birgt er auch gefährliche Funktionen?

Rapp: Wir gehen davon aus, dass der Urheber von Downadup die unter Kontrolle gebrachten Maschinen und die damit erlangten Ressourcen in der Szene anbietet, das heißt, dass andere diese Ressourcen gegen Geld nutzen können.

Das ist ein verbreitetes und etabliertes Vorgehen. In sehr vielen Fällen sind diejenigen, die zum Beispiel ein Botnetz aufbauen, und diejenigen, die es dann nutzen, unterschiedliche Personenkreise. Was genau dann passiert – Spam-Attacken, Denial-of-Service-Attacken, das Abgreifen von Daten – lässt sich nicht vorhersagen.

F-Secure Marcus Rapp


»Wir gehen von 10 Millionen infizierten PCs aus.«

/// Marcus Rapp, Sicherheitsspezialist bei F-Secure

PCpro: Wie kann man sich vor Downadup schützen?

Rapp: Schützen kann man sich am besten, indem man seinen Rechner stets mit aktuellen Patches versorgt und ein aktuelles Anti-Viren-Programm nebst aktuellen Signaturen einsetzt. Ebenso ist ein umsichtiger Umgang mit Dateien aus nicht vertrauenswürdigen Quellen generell ein guter Tipp.

Im Falle von Downadup ist es konkret ein bestimmter Microsoft-Patch, der eingespielt werden sollte. Da das aber nur ein Weg der Verbreitung ist, sind auch andere Maßnahmen sinnvoll, etwa das Abschalten von Autorun und Autoplay für USB-Sticks unter Windows und der Einsatz starker Passwörter.

PCpro: Wie erkennt man, dass der eigene Rechner infiziert ist und was tut man dagegen?

Rapp: Am einfachsten und zuverlässigsten erkennt man das durch einen entsprechenden Scan. Dazu eignet sich zum Beispiel das von F-Secure speziell für diesen Wurm bereitgestellte und kostenlose Removal-Tool.

PCpro: Lässt sich der Schaden, den der Wurm angerichtet hat, beziffern?

Rapp: Nein. Um hier konkrete Zahlen liefern zu können, bräuchten wir Informationen von allen Unternehmen, deren Netzwerk vom Wurm befallen war, und diese liegen uns nicht vor.

PCpro: Gibt es bei einem solchen Wurm-Ausbruch auch Gewinner, etwa die Hersteller von Antiviren-Software?

Rapp: Auch wenn ein solcher, medienwirksamer Ausbruch eines Wurms sicherlich dazu beiträgt, die Sensibilität der Anwender zu steigern, sehen wir keinen Effekt in den Verkaufszahlen.

PCpro: Herr Rapp, wir danken für das Gespräch.