Conficker: Neuer Angriff am 1. April

SicherheitVirus

Der 1. April hält diesmal einen Scherz der weniger lustigen Art bereit. Sicherheitsexperten befürchten, dass der Conficker-Wurm wieder zuschlägt. Dessen Angriffe werden von Mal zu Mal gefährlicher.

Der Conficker-Wurm hält die IT-Welt in Atem. Admins und Sicherheitsbeauftragte sollten sich insbesondere für den 1. April rüsten. Experten befürchten, dass die Malware dann neue Requests an 500 Domains für ein Update schicken wird.

Was dieses Update genau machen wird, weiß im Moment niemand. Doch die bisherigen Versionen von Conficker – alias Downadup – haben sich als erstaunlich einfallsreich und tückisch erwiesen.

Einige Millionen PCs infiziert
So hat die Verson C, die letzte Iteration des Wurms, eine Peer-to-Peer-Kommunikation zwischen infizierten Systemen aufgebaut. Außerdem ist der Wurm imstande, beispielsweise Antiviren-Software außer Gefecht zu setzen und die Funktion Auto Update von PCs abzuschalten.

Der Wurm hat in allen Varianten bisher schon schon einige Millionen PCs infiziert. Das hat dazu geführt, dass Unternehmen wie Microsoft und AOL sich zusammengetan haben, um Domains stillzulegen, die Conficker attackiert.
Immerhin können Anwender die Malware auf ihrem PC relativ leicht entfernen, etwa mit den Removal-Tools, die Anbieter wie Symantec zur Verfügung stellen.

Variante A war harmlos
Dabei waren die erste Varianten von Conficker im Herbst 2008 noch einigermaßen harmlos. Ursprünglich hatte die Malware eine Sicherheitslücke in Microsofts Windows Server ausgenutzt.

Pierre-Marc Bureau, eine Analyst beim Security-Anbieter Eset sagt: »Die Variante A machte den Eindruck eines Testlauf, und sollte sich gar nicht weltweit verbreiten. Sie hat zum Beispiel nach einem ukrainischen Keyboard oder eine ukrainischen IP gesucht, bevor sie einen Rechner infiziert hat.«

Verbreitung über schwache Passwörter
Andere frühe Variante versuchten eine Datei namens loadav.exe herunterzuladen. Allerdings war die entsprechende Datei nie auf einen Webserver hochgeladen und konnten so von Conficker gar nicht heruntergeladen werden. Die zweite Version des Wurms verbreitete sich nicht nur über eine Schwachstelle in Windows Server aber auch über Netzwerke, die nur durch schwache Passwörter gesichert waren oder auch über USB-Sticks.

Die neue Variante des Conficker-Wurms ist auch eine Bewährungsprobe für die Antiviren-Hersteller. Sie müssen rechtzeitig Removal-Tools bereitstellen – und dürfen sich dabei keine einzige Panne leisten.
(Brian Prince, eWEEK.com/Mehmet Toprak)

Weblinks
Symantec Removal Tool
Microsoft-Patch für Windows Server
Eset
Conficker-Report auf PC Professionell