Sicherheitsexperten von Symantec haben das kostenlose Programm “Nmap” verbessert, das die von mit dem Conficker-Wurm infizierten Computer ausgehenden Daten abhören kann, indem man dasselbe P2P-Protokoll nutzt, das Conficker derzeit verwendet, um mit seinen Programmierern zu kommunizieren und neue Anweisungen zu bekommen.
Das Team um Ron Bowes, das Nmap entwickelt, möchte mit dem erneuerten Tool Computer, die mit Conficker.C und neueren Varianten infiziert sind, aufspüren.
Seit seinem Erscheinen im November 2008 hat Conficker zahlreiche Updates von seinen Programmierern erhalten. Bis heute sind vermutlich mehrere millionen PCs mit dem Wurm infiziert und ihnen allen droht, dass der Wurm durch weitere Befehle, die er sich regelmäßig holt, noch weiteren Schaden anrichtet oder die Daten ausspäht.
Conficker.C ließ die für den ersten April befürchteten Updates und Vorhaben platzen – stattdessen begannen infizierte PCs einige Tage nach diesem Datum, ein Update zu laden, das die Kommunikationsmethoden des Wurms komplett veränderte. Aus Conficker.C wurde Conficker.E und der Wurm enthielt den Spambot Waledac sowie eine sogenannte Scareware, die dem Benutzer Falschmeldungen über eine Infektion des PCs anzeigt und zum Kauf einer 50 Dollar teuren aber wirkungslosen Software bewegen soll.
Das Tool Nmap 4.85 Beta 8, das gestern veröffentlicht wurde, enthält ein Skript, das Conficker anhand der von ihm belegten P2P-Ports identifizieren soll. Die meisten Experten sind sich einig, dass diese Verbindungen als Ersatz für die HTTP-Verbindungen über Port 80 eingerichtet wurden, die Conficker verwendet, um Updates zu laden. Die Methode mit den Ersatzverbindungen ist erst seit der C-Variante bekannt.
Das mitgelieferte Skript versucht im wahrsten Sinne des Wortes, sich mit dem Wurm zu unterhalten. Dann wolle man die Antworten, die die infizierten PCs senden, analysieren und wenn möglich, nutzen, um ihnen eigene Befehle zu senden.
Um Informationen über den Datenaustausch zwischen infizierten PCs und den Conficker-Entwicklern zu bekommen, legte man eigens ein Honigtopf-Netzwerk an und analysierte die ausgehenden Informationen – was die Programmierer des Wurms mit ihren Bots kommunizierten sei “clever”, aber nicht bewegend, so Alfred Huger von Symantec.
Bowes und Huger warnen davor, sich voreilig auf Nmap zu verlassen, obwohl das Tool Conficker.C schon recht zuverlässig aufspüren kann. Das Abhören von Verbindungen sei eine unvollkommene Wissenschaft, sobald man etwas gefunden habe, das Conficker sein könnte, müsse man von Hand eingreifen, um den Fund identifizieren zu können. Dann müsse man mit den vielen Anti-Conficker-Tools anrücken, die inzwischen viele Hersteller kostenlos anbieten.
Bowes warnt davor, sich hundertprozentig auf Nmap zu verlassen. Firewalls und Portfilter können die Suche nach Conficker erschweren oder komplett verhindern und PCs, bei denen alle Ports geschlossen sind, können gar nicht untersucht werden. Für einige dieser Probleme gibt es bereits Workarounds.
Damit man Nmap auch auch infizierte Computer aus herunterladen kann, bietet das Team den Download auf mehreren Spiegelservern (Mirrors) an. Conficker blockiert den Zugriff auf bekannte Websites, die Anti-Conficker-Tools bereitstellen, darunter ist inzwischen auf die Website nmap.org.
Es ist nicht das erste Mal, dass man den eigenen Conde von Conficker gegen den Wurm selbst einsetzt. Im März entdeckten es drei Experten (darunter Dan Kaminsky) eine zuverlässige Methode, um den Wurm aufzuspüren.
