Conficker verrät sich im Netzwerk

SicherheitSicherheitsmanagementVirus

Der Wurm dichtet das Windows-Leck, über das er eingefallen ist, hinter sich ab. Im Netzwerk erscheinen die Rechner dennoch nicht wie normale gepatchte Systeme, so dass infizierte PCs per Security Scanner aufgespürt werden können.

Beim Honeypot Project hat man Conficker eingehend unter die Lupe genommen und die Erkenntnisse in einem PDF mit dem Titel »Know Your Enemy: Containing Conficker« zusammengefasst. Darin erklärt man auch, dass der Wurm das Windows-Leck, über das er eingefallen ist, in einer speziellen Weise abdichtet – anders, als das etwa der reguläre Microsoft-Patch tun würde. Der Wurm bezieht über das Leck weitere Updates, versucht aber andere Schädlinge fernzuhalten. Doch auf bestimmte RPC-Messages reagiert er mit einer Fehlermeldung und verrät sich so. Mit einem Security Scanner lässt sich Conficker daher im Netzwerk aufspüren – Tillmann Werner und Felix Leder von Honeypot Project haben einen Scanner zum Download bereitgestellt. Auch die bekannten Security Scanner Nessus und Nmap können den Schädling mittlerweile entdecken. (Daniel Dubsky)