Gegen Conficker: kein AutoRun in Windows 7


Microsoft gab heute morgen (Ortszeit) bekannt, die AutoRun-Funktion in Windows 7 bis zum Erscheinen des in wenigen Tagen öffentlichen Release Candidate 1 so verändern zu wollen, dass nur noch optische Medien automatisch wiedergegeben werden.

Medien wie USB-Sticks oder SD-Karten können von jedem in kürzester Zeit bespielt werden und sind nicht über Signaturen kontrollierbar. Der Conficker-Wurm verbreitet sich nicht nur über schwach gesicherte Netzwerke, sondern auch über die AutoRun-Funktion von Windows XP (und Vista).

imageAutoRun-Dialog für eine Software-CD.

Wenn sich an Microsofts Plänen nichts mehr ändert, wird AutoRun also nur noch in Zusammenhang mit Optischen Medien wie CDs oder DVDs funktionieren. AutoRun war ursprünglich auch für genau diese Medien vorgesehen, um den Benutzern etwa die Installation einer Software zu vereinfachen. Nicht erst seit Conficker wird AutoRun aber missbraucht, um heimlich schädliche Software zu installieren.

Von Änderungen betroffen ist auch AutoPlay, das immer dann einspringt, wenn AutoRun nicht verfügbar ist. AutoPlay erlaubt die schnelle Wahl eines Programms, das etwa alle Bilder anzeigt oder abspielbare Medien wie Filme und Musik in einem Player öffnet.

imageAutoPlay-Dialog für einen USB-Stick.

Conficker hat sich auch die Funktionen von AutoPlay zunutze gemacht.

Die Verbreitung von Conficker über Wechseldatenträger ist damit aber noch nicht automatisch eingedämmt:

SanDisk stellt USB-Sticks und andere Flashmedien her, die dem U3-Standard entsprechen – diese U3 Smart Drives werden vom Betriebssystem als optische Medien behandelt, folglich werden sie auch AutoRun nutzen können.

Microsoft ließ ferner bekanntgeben, dass die Änderungen auch auf Windows XP und Vista übertragen werden sollen – wann ist aber noch nicht bekannt: “im Moment können wir nicht mehr dazu sagen”. Mit einigen Wochen Verzögerung muss man allerdings rechnen, da die neue Funktion ausgiebig getestet werden muss, bevor sie per Update auf Millionen PCs Einzug finden kann.


Wer sich schützen will, kann die automatischen Startfunktionen komplett abschalten: in den AutoRun- oder AutoPlay-Dialogen erscheint unten ein Link zur Systemsteuerung.


Sicherheitsexperten wollen Conficker mit seinen eigenen Waffen schlagen

Sicherheitsexperten von Symantec haben das kostenlose Programm “Nmap” verbessert, das die von mit dem Conficker-Wurm infizierten Computer ausgehenden Daten abhören kann, indem man dasselbe P2P-Protokoll nutzt, das Conficker derzeit verwendet, um mit seinen Programmierern zu kommunizieren und neue Anweisungen zu bekommen.

Das Team um Ron Bowes, das Nmap entwickelt, möchte mit dem erneuerten Tool Computer, die mit Conficker.C und neueren Varianten infiziert sind, aufspüren.

Seit seinem Erscheinen im November 2008 hat Conficker zahlreiche Updates von seinen Programmierern erhalten. Bis heute sind vermutlich mehrere millionen PCs mit dem Wurm infiziert und ihnen allen droht, dass der Wurm durch weitere Befehle, die er sich regelmäßig holt, noch weiteren Schaden anrichtet oder die Daten ausspäht.

Conficker.C ließ die für den ersten April befürchteten Updates und Vorhaben platzen – stattdessen begannen infizierte PCs einige Tage nach diesem Datum, ein Update zu laden, das die Kommunikationsmethoden des Wurms komplett veränderte. Aus Conficker.C wurde Conficker.E und der Wurm enthielt den Spambot Waledac sowie eine sogenannte Scareware, die dem Benutzer Falschmeldungen über eine Infektion des PCs anzeigt und zum Kauf einer 50 Dollar teuren aber wirkungslosen Software bewegen soll.

Das Tool Nmap 4.85 Beta 8, das gestern veröffentlicht wurde, enthält ein Skript, das Conficker anhand der von ihm belegten P2P-Ports identifizieren soll. Die meisten Experten sind sich einig, dass diese Verbindungen als Ersatz für die HTTP-Verbindungen über Port 80 eingerichtet wurden, die Conficker verwendet, um Updates zu laden. Die Methode mit den Ersatzverbindungen ist erst seit der C-Variante bekannt.

Das mitgelieferte Skript versucht im wahrsten Sinne des Wortes, sich mit dem Wurm zu unterhalten. Dann wolle man die Antworten, die die infizierten PCs senden, analysieren und wenn möglich, nutzen, um ihnen eigene Befehle zu senden.

Um Informationen über den Datenaustausch zwischen infizierten PCs und den Conficker-Entwicklern zu bekommen, legte man eigens ein Honigtopf-Netzwerk an und analysierte die ausgehenden Informationen – was die Programmierer des Wurms mit ihren Bots kommunizierten sei “clever”, aber nicht bewegend, so Alfred Huger von Symantec.

Bowes und Huger warnen davor, sich voreilig auf Nmap zu verlassen, obwohl das Tool Conficker.C schon recht zuverlässig aufspüren kann. Das Abhören von Verbindungen sei eine unvollkommene Wissenschaft, sobald man etwas gefunden habe, das Conficker sein könnte, müsse man von Hand eingreifen, um den Fund identifizieren zu können. Dann müsse man mit den vielen Anti-Conficker-Tools anrücken, die inzwischen viele Hersteller kostenlos anbieten.


Bowes warnt davor, sich hundertprozentig auf Nmap zu verlassen. Firewalls und Portfilter können die Suche nach Conficker erschweren oder komplett verhindern und PCs, bei denen alle Ports geschlossen sind, können gar nicht untersucht werden. Für einige dieser Probleme gibt es bereits Workarounds.

Damit man Nmap auch auch infizierte Computer aus herunterladen kann, bietet das Team den Download auf mehreren Spiegelservern (Mirrors) an. Conficker blockiert den Zugriff auf bekannte Websites, die Anti-Conficker-Tools bereitstellen, darunter ist inzwischen auf die Website nmap.org.

Es ist nicht das erste Mal, dass man den eigenen Conde von Conficker gegen den Wurm selbst einsetzt. Im März entdeckten es drei Experten (darunter Dan Kaminsky) eine zuverlässige Methode, um den Wurm aufzuspüren.