Wie sich Conficker am Leben hält


Conficker gibt es, wie Trend Micro noch gestern bekannt gab, jetzt auch in der Variante Conficker.E. Damit “springt” die bisher bekannte dritte Variante mit einem Update von Version .C auf .E – und ist weitaus mächtiger geworden, was das nachladen von Updates angeht. Der für den ersten April befürchtete Schlag tritt damit leicht verspätet ein.


Zuerst aber die gute Nachricht: Möglicherweise wird sich der Wurm am 3. Mai 2009 selbst deaktivieren. Bis dahin wird er die in Version .C hinzugekommene Peer-to-Peer-Funktion, die zum Informationsaustausch zwischen infizierten Systemen geeignet ist, kräftig nutzen, um Updates von einem Server in Korea zu holen, Spuren auf dem System zu verwischen und Datei- und Dienstnamen für die neue Variante zufällig zu vergeben. So wird Conficker.E anhand seiner Dateinamen kaum noch zu identifizieren sein.

Um zu überprüfen, ob eine Verbindung ins Internet besteht, versucht der Wurm bekannte Domains zu erreichen, darunter msn.com, myspace.com und aol.com – offensichtlich wollen die Entwickler so einer möglichen Inbesitznahme von Domains entgegen wirken, die er zufällig berechnete und zum Laden von Updates kontaktierte. Der Wurm wurde intelligenter gemacht, um zu erkennen, ob er wirklich noch ins Internet horchen kann. Daneben blockiert der Wurm den Zugang zu bekannten Websites, die sogenannte Conficker Removal Tools bereitstellen – kleine Programme, die den Wurm vom System entfernen sollen. Hier eine Liste solcher Seiten.

Vermutlich verbinden sich infizierte Rechner mit dem Botnetz “Waledac” – ob das tatsächlich so ist, wollen die Spezialisten von Trend Micro und Symantec noch nicht sagen.

Bisland ist unklar, welche Mechanismen Conficker.E nutzt, um sich zu verbreiten. Nach wie vor nutzt der Wurm die Eigentlich seit Oktober 2008 gestopfte Lücke im RPD-Dienst von Windows, ob auch immer noch die Verbreitung über USB-Sticks und vergleichbare Medien darunterfällt, geht aus den bisherigen Meldungen nicht hervor.


Ob Conficker auch nach dem 3. Mai Updates laden wird, ist noch nicht bekannt. Schließlich kann er sich bis dahin ein Update mit dem Befehl zum nächsten Upgrade gezogen haben und auch nach diesem Tag weiterleben. Derzeit sind zwischen 2,5 und einigen Berichten zufolge sogar 10 Millionen PCs mit Conficker infiziert.


2 Gedanken zu „Wie sich Conficker am Leben hält

  1. Pingback: Bloxxo - Ideen zum Erfolg

  2. Mistakes are a part of being human. Appreciate your mistakes for what they are: precious life lessons that can only be learned the hard way. Unless it’s a fatal mistake, which, at least, others can learn from.

Kommentare sind geschlossen.