Vireninfektion: Keine Panik auf der TitanicConficker-C nicht schlimmer als das Y2K-Problem?

Die Ausgeburt des Bösen?

Als der Schädling conficker kam, war erst wenig darüber bekannt. Dann aber wurden dessen Tätigkeiten entschlüsselt und zahlreiche Sicherheitsanbieter hielten ihn für die Ausgeburt des Bösen schlechthin.

Mitte Januar hatte er immerhin schon 3,5 Millionen PCs infiziert, eine Woche später waren es laut F-Secure schon 9 Millionen. Trend Micro sah einige Tage später schon 7 Prozent der deutschen PCs infiziert, kurz darauf befiel er die britische Armee und hunderte von Bundeswehr-Rechnern.

Und es hörte nicht auf: Der Digitalfiesling bekam einen neuen Update-Mechanismus und holte sich fortan neue Malware verschlüsselt und an den Antivirenpogrammen vorbei per P2P-Technik.

Ram Mohan, CTO von ».info«-Betreiber Afilias und Mitglied im ICANN-Security-Rat, warnte sogar davor, dass ein »son of conficker« das ganze Internet lahmlegen könne.

Kaum erhöhtes Bedrohungspotential

Natürlich würde ein Internet-Zusammenbruch die Geschäftsgrundlage der Internet-Betrüger zunichte machen – so blöd sind die Viren-Autoren nun auch nicht. Und so überschwemmen sie die Welt mit weiteren Würmern und Trojanern, die sich überall festsetzen. Vor der dritten Hauptvariante des Conficker-Wurms (es gibt diverse Abwandlungen des vorherigen) erzählen Sophos und TrendMicro, dass am 1. April eine besonders verheerende Angriffswelle auf uns zukomme.

Wirklich?

Viele Experten wollen dies  nicht bestätigen. Quellen wie etwa das »Internet Storm Center« gehen nicht von einem erhöhten Bedrohungspotential aus. Zwar setze sich Variante C ab dem 1. April mit 500 statt bisher 250 Domains in Verbindung, um sich über mögliche Updates zu informieren. Eine gesteigerte Bedrohung gehe davon aber nicht aus.

Sicherheitsexperte Joe Stewart von SecureWorks schreibt »es wird keinen Ausbruch am 1. April geben. Saubere PCs werden nicht einfach dahinschmelzen!«. Der Wurm würde nur einen neuen Trick ausprobieren, um seine Verbreitung zu verbessern und um die Hürden der Sicherheitsexperten besser zu umfahren.

Fünf Gründe gegen einen conficker-Ausbruch

Schlimmer als das Jahr-2000-Problem sei es auch nicht, und das hat die IT-Branche doch mit links gemeistert, obwohl sich viele Kunden nicht mehr mit den alten Systemen auskannten und sehr ängtlich waren.

Auch F-Secure ist überzeugt davon, dass nichts Schlimmeres passieren wird am 1.4. Man könne den Wurm aber trotzdem nicht so locker sehen: Der Schädling kann auf infizierten PCs noch immer viel zerstören, wenn einmal später ein »böses« Update kommt.

Vor dem angeblichen Chaosdatum braucht niemand Angst zu haben, der gute Sicherheitssoftware auf dem Rechner oder im Netzwerk hat. Vier Gründe dafür:

1.    Conficker.C ist jederzeit bereit, über sein P2P-Protokoll weitere Updates zu holen. Wer sich auf den 1. April konzentriert, an dem erstmal nur neue Algorithmen geladen werden sollen, lässt alle Tage danach außer acht.

2.    Der Wurm kann heute bereits aktualisiert werden, dann eben mit einem »alten« Verschlüsselungsmechanismus. Wer sich wirklich auf den 1. April konzentriert, liegt also vielleicht vollkommen daneben.

3.    Unterschätzen Sie nicht das Wissen und den Einfluss der Arbeitsgrupe rund um Conficker. Die professionellen Hacker arbeiten mit Hochdruck daran, das Problem zu lösen, ohne Domain-Listen ihre Schadsoftware an Rechner zu verbreiten. Dann nämlic^h können die Sicherheitsprogramme nicht mehr prüfen, woher die Angriffe vermutlich kommen werden.

4.    Auch, wenn es 50.000 Domains gibt, über die der Bösewicht angreifen kann, werden alle diese Domains überwacht. Wenn darunter irgendwelche »bösen« Server auftauchen, werden sie wahrscheinlich sehr schnell abgeschaltet oder ins Nirvana umgeroutet.

5.    Wenn die Autoren massive Updates planen, machen sie das sicher nicht an dem einen Tag, den alle erwarten.

SRI International hat die genaue Funktionsweise des Digital-Bösewichts auseinandergenommen.

conficker erkennen und beseitigen

Es ist leicht, Nutzern im Unternehmen zu sagen, ob ihre Rechner mit Conficker infiziert sind: Einfach mit dem Browser auf die Websites f-secure.com, secureworks.com, microsoft.com oder eine der anderen Security-Websites gehen.

Wenn »Seite kann nicht angezeigt werden« bei all diesen Domains erscheint, ist die Wahrscheinlichkeit recht hoch, dass sie von conficker oder ähnlicher Malware blockiert werden. Schade, denn die im Netz erhältlichen kostenlosen conficker-Beseitigungs-Tools sind damit auch gesperrt.

Was bleibt, ist das Abstöpseln des PCs vom Netz und eine aktuelle Sicherheitssoftware per Linux-Boot-Disk, wie sie inzwischen von fast allen Antiviren-Herstellern angeboten wird.

conficker wird also den Turnschuh-Administrator reaktivieren, wenn der nicht zuvor alle Schädlinge mit seiner Netzwerktechnik blocken konnte.

Keine Entwarnung von der ICANN

Auch wenn Experten wie Raimund Genes, Technik-Chef bei Trendmicro, sagen »Kein Grund zur Panik, das Internet wird nicht am 1. April sterben«, gibt es Warner, die die Sache etwas düsterer sehen.

In einem Chat von IT im unternehmen mit Ram Mohan, Mitglied im Security-Vorstand der Intenet-Behörde ICANN, kamen einige Widerworte – schließlich sei die dritte conficker-Generation der Beginn einer neuen, schlecht vorhersehbaren Bedrohung: »Conficker ist ein schlimmer, sich auf Anforderung verändernder “sozialer” Wurm«.  Er kann vielleicht nicht das ganze Internet lahmlegen. Aber das ist ja selbst nur eine Gruppe untereinander verbundener Netze. Ich glaube zwar nicht, dass das ganze Netz abstürzen würde, aber conficker.c kann signifikante Teile dieser verbundenen Netze zum Absturz bringen.«

Zum Ende der Konversation wird Mohan noch düsterer: »Was können ein paar Millionen infizierte PCs mit ständig meanderndem Code anrichten?  Das ist die größe Drohnen-Armee der Welt. Star Wars lag also nicht so daneben!«

(Manfred Kohlen)