Sicherheitsexperten wollen Conficker mit seinen eigenen Waffen schlagen


Sicherheitsexperten von Symantec haben das kostenlose Programm “Nmap” verbessert, das die von mit dem Conficker-Wurm infizierten Computer ausgehenden Daten abhören kann, indem man dasselbe P2P-Protokoll nutzt, das Conficker derzeit verwendet, um mit seinen Programmierern zu kommunizieren und neue Anweisungen zu bekommen.

Das Team um Ron Bowes, das Nmap entwickelt, möchte mit dem erneuerten Tool Computer, die mit Conficker.C und neueren Varianten infiziert sind, aufspüren.

Seit seinem Erscheinen im November 2008 hat Conficker zahlreiche Updates von seinen Programmierern erhalten. Bis heute sind vermutlich mehrere millionen PCs mit dem Wurm infiziert und ihnen allen droht, dass der Wurm durch weitere Befehle, die er sich regelmäßig holt, noch weiteren Schaden anrichtet oder die Daten ausspäht.

Conficker.C ließ die für den ersten April befürchteten Updates und Vorhaben platzen – stattdessen begannen infizierte PCs einige Tage nach diesem Datum, ein Update zu laden, das die Kommunikationsmethoden des Wurms komplett veränderte. Aus Conficker.C wurde Conficker.E und der Wurm enthielt den Spambot Waledac sowie eine sogenannte Scareware, die dem Benutzer Falschmeldungen über eine Infektion des PCs anzeigt und zum Kauf einer 50 Dollar teuren aber wirkungslosen Software bewegen soll.

Das Tool Nmap 4.85 Beta 8, das gestern veröffentlicht wurde, enthält ein Skript, das Conficker anhand der von ihm belegten P2P-Ports identifizieren soll. Die meisten Experten sind sich einig, dass diese Verbindungen als Ersatz für die HTTP-Verbindungen über Port 80 eingerichtet wurden, die Conficker verwendet, um Updates zu laden. Die Methode mit den Ersatzverbindungen ist erst seit der C-Variante bekannt.

Das mitgelieferte Skript versucht im wahrsten Sinne des Wortes, sich mit dem Wurm zu unterhalten. Dann wolle man die Antworten, die die infizierten PCs senden, analysieren und wenn möglich, nutzen, um ihnen eigene Befehle zu senden.


Um Informationen über den Datenaustausch zwischen infizierten PCs und den Conficker-Entwicklern zu bekommen, legte man eigens ein Honigtopf-Netzwerk an und analysierte die ausgehenden Informationen – was die Programmierer des Wurms mit ihren Bots kommunizierten sei “clever”, aber nicht bewegend, so Alfred Huger von Symantec.

Bowes und Huger warnen davor, sich voreilig auf Nmap zu verlassen, obwohl das Tool Conficker.C schon recht zuverlässig aufspüren kann. Das Abhören von Verbindungen sei eine unvollkommene Wissenschaft, sobald man etwas gefunden habe, das Conficker sein könnte, müsse man von Hand eingreifen, um den Fund identifizieren zu können. Dann müsse man mit den vielen Anti-Conficker-Tools anrücken, die inzwischen viele Hersteller kostenlos anbieten.

Bowes warnt davor, sich hundertprozentig auf Nmap zu verlassen. Firewalls und Portfilter können die Suche nach Conficker erschweren oder komplett verhindern und PCs, bei denen alle Ports geschlossen sind, können gar nicht untersucht werden. Für einige dieser Probleme gibt es bereits Workarounds.

Damit man Nmap auch auch infizierte Computer aus herunterladen kann, bietet das Team den Download auf mehreren Spiegelservern (Mirrors) an. Conficker blockiert den Zugriff auf bekannte Websites, die Anti-Conficker-Tools bereitstellen, darunter ist inzwischen auf die Website nmap.org.

Es ist nicht das erste Mal, dass man den eigenen Conde von Conficker gegen den Wurm selbst einsetzt. Im März entdeckten es drei Experten (darunter Dan Kaminsky) eine zuverlässige Methode, um den Wurm aufzuspüren.


Wie sich Conficker am Leben hält

Conficker gibt es, wie Trend Micro noch gestern bekannt gab, jetzt auch in der Variante Conficker.E. Damit “springt” die bisher bekannte dritte Variante mit einem Update von Version .C auf .E – und ist weitaus mächtiger geworden, was das nachladen von Updates angeht. Der für den ersten April befürchtete Schlag tritt damit leicht verspätet ein.

Zuerst aber die gute Nachricht: Möglicherweise wird sich der Wurm am 3. Mai 2009 selbst deaktivieren. Bis dahin wird er die in Version .C hinzugekommene Peer-to-Peer-Funktion, die zum Informationsaustausch zwischen infizierten Systemen geeignet ist, kräftig nutzen, um Updates von einem Server in Korea zu holen, Spuren auf dem System zu verwischen und Datei- und Dienstnamen für die neue Variante zufällig zu vergeben. So wird Conficker.E anhand seiner Dateinamen kaum noch zu identifizieren sein.

Um zu überprüfen, ob eine Verbindung ins Internet besteht, versucht der Wurm bekannte Domains zu erreichen, darunter msn.com, myspace.com und aol.com – offensichtlich wollen die Entwickler so einer möglichen Inbesitznahme von Domains entgegen wirken, die er zufällig berechnete und zum Laden von Updates kontaktierte. Der Wurm wurde intelligenter gemacht, um zu erkennen, ob er wirklich noch ins Internet horchen kann. Daneben blockiert der Wurm den Zugang zu bekannten Websites, die sogenannte Conficker Removal Tools bereitstellen – kleine Programme, die den Wurm vom System entfernen sollen. Hier eine Liste solcher Seiten.


Vermutlich verbinden sich infizierte Rechner mit dem Botnetz “Waledac” – ob das tatsächlich so ist, wollen die Spezialisten von Trend Micro und Symantec noch nicht sagen.

Bisland ist unklar, welche Mechanismen Conficker.E nutzt, um sich zu verbreiten. Nach wie vor nutzt der Wurm die Eigentlich seit Oktober 2008 gestopfte Lücke im RPD-Dienst von Windows, ob auch immer noch die Verbreitung über USB-Sticks und vergleichbare Medien darunterfällt, geht aus den bisherigen Meldungen nicht hervor.

Ob Conficker auch nach dem 3. Mai Updates laden wird, ist noch nicht bekannt. Schließlich kann er sich bis dahin ein Update mit dem Befehl zum nächsten Upgrade gezogen haben und auch nach diesem Tag weiterleben. Derzeit sind zwischen 2,5 und einigen Berichten zufolge sogar 10 Millionen PCs mit Conficker infiziert.