Nach einer Meldung bei Heise Online gibt es jetzt von einigen Herstellern von Antivirus- und Sicherheitssoftware kleine Programme, die den Wurm Conficker/Downloadup (Win32/Downloadup.AL) entfernen sollen.
Ob die Programme auch die aktuellsten Versionen des Wurms entfernen können, ist noch nicht bekannt.
Generell sollte ein kompromittiertes System gründlich geprüft werden. In den meisten Fällen empfiehlt sich die Neuinstallation.
Der seit Oktober 2008 wütende Windows-Wurm Win32/Conficker, der befallene Computer zu einem Teil eines Botnetzes macht, kontaktiert regelmäßig mehrere Server, um davon Updates oder Befehle zu beziehen.
Seit einem der letzten Updates kann der Wurm mit einem neuen Algorithmus etwa 50 000 pro Tag zu kontaktierende Zieladressen berechnen, zuvor waren es nur 250. Von diesen Adressen wird er dann neue Befehle erhalten.
Aufgrund der hohen Anzahl von Rechnern, die trotz Patch mit dem Wurm befallen sind, werden vermutlich mehrere Server mit den millionenfachen Anfragen an tatsächlich existierenden Zieladressen in die Knie gezwungen. Allein diesen Monat werden sich unter den berechneten Adressen mehrere legitime Adressen befinden.
Am 13. März (diesen Freitag) werden infizierte Computer die Domain wnsux.com (Southwest Airlines) kontaktieren. Die Website ist seit einiger Zeit nur noch über southwest.com erreichbar. Inhabern von “bedrohten” Domains wird geraten, sie wenigstens für den Zeitpunkt, zu dem Conficker voraussichtlich zuschlagen wird, ins Leere leiten zu lassen.
Diesen Monat lässt Conficker es nicht nur auf ungepatchten Windows-Computern kracken, sondern auch im Internet.
Soweit der Wurm bisher dekompiliert werden konnte, weiß man inzwischen, welche Domains er diesen Monat kontaktieren wird, um neue Befehle entgegenzunehmen. Betroffen sind unter anderem die prominenten und real existierenden Domains wnsux.com, jogli,com und qhflh.com. Durch die über zwei Millionen infizierten PCs ist ein Ansturm auf die Domains zu erwarten, der die Webserver zusammenbrechen lassen könnte. Dies ist mit einer Denial of Service-Attacke gleichzusetzen.
Eine Liste mit Domains, die Conficker kontaktieren wird, kann im MSCR-Blog heruntergeladen werden.
Conficker nutzt eine Lücke in Windows, für die es schon seit Oktober 2008 einen Patch gibt.
Mitte Februar hat Microsoft 250 000 US-Dollar für Hinweise ausgesetzt, die zur Ergreifung des Wurmprogrammierers führen.
