Wie sich Conficker am Leben hält


Conficker gibt es, wie Trend Micro noch gestern bekannt gab, jetzt auch in der Variante Conficker.E. Damit “springt” die bisher bekannte dritte Variante mit einem Update von Version .C auf .E – und ist weitaus mächtiger geworden, was das nachladen von Updates angeht. Der für den ersten April befürchtete Schlag tritt damit leicht verspätet ein.

Zuerst aber die gute Nachricht: Möglicherweise wird sich der Wurm am 3. Mai 2009 selbst deaktivieren. Bis dahin wird er die in Version .C hinzugekommene Peer-to-Peer-Funktion, die zum Informationsaustausch zwischen infizierten Systemen geeignet ist, kräftig nutzen, um Updates von einem Server in Korea zu holen, Spuren auf dem System zu verwischen und Datei- und Dienstnamen für die neue Variante zufällig zu vergeben. So wird Conficker.E anhand seiner Dateinamen kaum noch zu identifizieren sein.

Um zu überprüfen, ob eine Verbindung ins Internet besteht, versucht der Wurm bekannte Domains zu erreichen, darunter msn.com, myspace.com und aol.com – offensichtlich wollen die Entwickler so einer möglichen Inbesitznahme von Domains entgegen wirken, die er zufällig berechnete und zum Laden von Updates kontaktierte. Der Wurm wurde intelligenter gemacht, um zu erkennen, ob er wirklich noch ins Internet horchen kann. Daneben blockiert der Wurm den Zugang zu bekannten Websites, die sogenannte Conficker Removal Tools bereitstellen – kleine Programme, die den Wurm vom System entfernen sollen. Hier eine Liste solcher Seiten.


Vermutlich verbinden sich infizierte Rechner mit dem Botnetz “Waledac” – ob das tatsächlich so ist, wollen die Spezialisten von Trend Micro und Symantec noch nicht sagen.

Bisland ist unklar, welche Mechanismen Conficker.E nutzt, um sich zu verbreiten. Nach wie vor nutzt der Wurm die Eigentlich seit Oktober 2008 gestopfte Lücke im RPD-Dienst von Windows, ob auch immer noch die Verbreitung über USB-Sticks und vergleichbare Medien darunterfällt, geht aus den bisherigen Meldungen nicht hervor.

Ob Conficker auch nach dem 3. Mai Updates laden wird, ist noch nicht bekannt. Schließlich kann er sich bis dahin ein Update mit dem Befehl zum nächsten Upgrade gezogen haben und auch nach diesem Tag weiterleben. Derzeit sind zwischen 2,5 und einigen Berichten zufolge sogar 10 Millionen PCs mit Conficker infiziert.


“Neeris” kopiert Conficker-Strategie

Der im Jahr 2005 aufgetauchte, aber nur wenige verbreitete Computerwurm “Neeris” ist zurück – mit einer neuen Strategie, die er Conficker nachgeahmt hat.

Neeris hat von Conficker gelernt und nutzt nun dieselbe Windows-Lücke in RPC aus. Auch weitere Strategien hat der Autor für seinen Wurm übernommen: Die Verbreitung über USB-Sticks und Speicherkarten über den Autorun-Aufruf und eben über das Netzwerk, wobei sich beide Würmer schwache Kennwörter, Administratorenrechte der Nutzer und das Fehlen von Firewalls zunutze machen.

Sowohl Conficker als auch die neue Variante von Neeris fügen dem Menü zum Öffnen der Daten auf einem Wechseldatenträger einen gefälschten Eintrag “Ordner öffnen, um Dateien zu durchsuchen” hinzu – wählt der Benutzer diesen nach dem Anschließen eines USB-Sticks aus, verbreiten sich die Würmer auf dem Computer.

Die technische Umsetzung basiert auf dem simplen Trick mit der Datei Autorin.inf, die eine festgelegte Datei beim Anschließen oder Einlegen eines Datenträgers automatisch aufruft.


Neeris ist möglicherweise eine der wahrgewordenen Befürchtungen zum ersten April. Der Wurm erschien am späten Dienstagabend, dem 31. März.