Original-URL des Artikels: https://www.golem.de/0903/65793.html    Veröffentlicht: 09.03.2009 18:47    Kurz-URL: https://glm.io/65793

Der Conficker-Wurm wehrt sich

Neue Versionen greifen Sicherheitstools an

Symantec warnt vor neuen Varianten des ständig mutierenden Wurms Conficker, auch bekannt als Downadup. Der Wurm kann nun ein Mehrfaches der zuvor betroffenen Domains angreifen und versucht, Sicherheitsprogramme auf infizierten PCs zu beenden.

Erst vor zwei Wochen waren die Versionen B und C des Conficker-Wurms aufgetaucht, nun gibt es neue Varianten, die sich von den bisherigen stark unterscheiden. In der Nomenklatur von Symantec heißen sie "Downadup.C", andere Antivirenhersteller wie Sophos sind schon beim Buchstaben E für die immer neuen Varianten des Wurms angekommen.

Die offenbar aktuellste von Symantec untersuchte Version des Conficker generiert nicht mehr nur jeden Tag 250, sondern bis zu 50.000 Domainnamen. Von dort versucht er sich zu aktualisieren. Die Domainnamen erzeugt der Wurm zwar mehr oder weniger nach dem Zufallsprinzip, dabei kann er jedoch auch zahlreiche kommerziell genutzte Buchstabenkombinationen erwischen. Dieses Problem wird nun noch schlimmer, da der Wurm dabei 116 Top-Level-Domains wie .com oder .de verwendet. Wie viele es vorher waren, gibt Symantec nicht an.

Zudem versucht der Wurm nun Prozesse zu beenden, die bestimmte Zeichenketten wie "wireshark", "procexp"" (Process Explorer) oder "hotfix"" enthalten. Dazu kommen noch Strings der Programme, die die gegen den Wurm veröffentlichten Microsoft-Patches installieren. Conficker kann über das Netz nur solche Systeme unter Windows 2000 bis Vista befallen, bei denen eine seit Oktober 2008 gepatchte Lücke im RPC-Dienst nicht geschlossen wurde. Zusätzlich ist aber auch eine Verbreitung durch das Ausführen einer Datei möglich, die sich auf USB-Sticks durch ein gefälschtes Autostart-Icon tarnt.

Symantec berichtet zudem, dass es derzeit keinen nennenswerten Anstieg der Neuinfektionen durch Conficker gibt. Daraus sowie aus den neuen Schutzmechanismen des Wurms schließt Symantec, dass die Conficker-Autoren derzeit vor allem bemüht sind, die befallenen Rechner unter ihrer Kontrolle zu behalten.

Wozu der Wurm erstellt wurde, ist weiterhin ebenso unklar wie die Zahl der von ihm infizierten Rechner. Manche Security-Unternehmen gehen von einer zweistelligen Millionenanzahl von Conficker-PCs aus, andere geben einige hunderttausend Rechner an. Außer dem einer DoS-Attacke entsprechenden Kontaktieren von Domains und der vertanen Arbeitszeit für seine Entfernung wurden bisher keine aktiven Schadfunktionen entdeckt.

Durch Würmer befallene PCs wurden in der Vergangenheit oft in Botnetzen verwendet, um beispielsweise massenhaft Spam-E-Mails zu versenden oder Firmen, die besonders von ihrer Webseite abhängig sind, per DoS-Atttacke zu erpressen. Ob hinter Conficker nur besonders motivierte Programmierer stecken, die mit den Antivirenherstellern und Internetadministratoren Katz und Maus spielen, oder ernsthaft kriminelle Absichten, ist noch nicht abzusehen.  (nie)


Verwandte Artikel:
Conficker-Wurm ist trotz Microsoft-Patch nicht totzukriegen   
(25.02.2009, https://glm.io/65504 )
Smartphones: Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen   
(28.07.2017, https://glm.io/129169 )
Suns RPC-Code steht unter der BSD-Lizenz   
(18.02.2009, https://glm.io/65353 )
Auswärtiges Amt: Bundeshacker kommunizierten per Outlook mit Malware   
(06.03.2018, https://glm.io/133177 )
Incident Response: Social Engineering funktioniert als Angriffsvektor weiterhin   
(25.02.2018, https://glm.io/132972 )

Links zum Artikel:
InterNetX https://www.internetx.de/: http://

© 1997–2019 Golem.de, https://www.golem.de/