Klopfzeilen am 14. September


Hackern ist es offensichtlich gelungen, Werbeanzeigen auf der Website der New York Times zu manipulieren und den Besuchern falsche Warnungen über eine Infektion ihrer Computer anzuzeigen. Die sogenannte Scareware warnt den PC-Benutzer vor falschen Viren und bietet Softwarepakete an, die diese Schädlinge entfernen sollen. Damit die Software funktionieren kann, so die Behauptung, muss man einen Lizenzschlüssel kaufen.

Microsoft hat einen Blogeintrag veröffentlicht, der die mögliche Dauer des Upgrades von Windows Vista auf Windows 7 erläutern soll. Einbezogen werden Faktoren wie die Ausgabe des Betriebssystems (32- oder 64-Bit), Kapazität des Arbeitsspeichers, Geschwindigkeit der Festplatte und des Prozessors sowie die Datenmengen der installierten Programme und der Benutzerdateien. Für ein mittemäßig stark beanspruchtes System gibt Microsoft Dauern von etwa zwei Stunden (ca. 70 GiB Benutzerdaten und 20 Programme) und bis zu 20 (zwanzig!) Stunden, wenn etwa 650 GiB an Benutzerdaten und 40 Programme installiert sind.


Der “Social Worm” von Mobsterworld nervt Twitterer. Nutzer, die sich bei Mobsterworld anmelden, verschicken automatisch und in den meisten Fällen vermutlich unwissend eine Nachricht an ihrer Follower. Über die Nachricht mit dem Inhalt “Hey, I just added you to my Mafia family. You should accept my invitation! ** Click here: ****://playmobsterworld.***” wird man je nach Einstellung sogar per E-Mail benachrichtigt, was zusätzlich lästig werden kann. Das automatische Versenden von Nachrichten über Twitter ist vielen fremden Diensten möglich, wenn der Twitterer ihnen erlaubt, eine Verbindung mit dem Twitteraccount herzustellen.

Der ehemalige Chef von Infineon, Ulrich Schumacher, steht vor Gericht. Ihm wird vorgeworfen, Geodl von einem Sponsorenvermittler angenommen und zur Finanzierung privater Autorennen eingesetzt zu haben.


Sicherheitsexperten wollen Conficker mit seinen eigenen Waffen schlagen

Sicherheitsexperten von Symantec haben das kostenlose Programm “Nmap” verbessert, das die von mit dem Conficker-Wurm infizierten Computer ausgehenden Daten abhören kann, indem man dasselbe P2P-Protokoll nutzt, das Conficker derzeit verwendet, um mit seinen Programmierern zu kommunizieren und neue Anweisungen zu bekommen.

Das Team um Ron Bowes, das Nmap entwickelt, möchte mit dem erneuerten Tool Computer, die mit Conficker.C und neueren Varianten infiziert sind, aufspüren.

Seit seinem Erscheinen im November 2008 hat Conficker zahlreiche Updates von seinen Programmierern erhalten. Bis heute sind vermutlich mehrere millionen PCs mit dem Wurm infiziert und ihnen allen droht, dass der Wurm durch weitere Befehle, die er sich regelmäßig holt, noch weiteren Schaden anrichtet oder die Daten ausspäht.

Conficker.C ließ die für den ersten April befürchteten Updates und Vorhaben platzen – stattdessen begannen infizierte PCs einige Tage nach diesem Datum, ein Update zu laden, das die Kommunikationsmethoden des Wurms komplett veränderte. Aus Conficker.C wurde Conficker.E und der Wurm enthielt den Spambot Waledac sowie eine sogenannte Scareware, die dem Benutzer Falschmeldungen über eine Infektion des PCs anzeigt und zum Kauf einer 50 Dollar teuren aber wirkungslosen Software bewegen soll.

Das Tool Nmap 4.85 Beta 8, das gestern veröffentlicht wurde, enthält ein Skript, das Conficker anhand der von ihm belegten P2P-Ports identifizieren soll. Die meisten Experten sind sich einig, dass diese Verbindungen als Ersatz für die HTTP-Verbindungen über Port 80 eingerichtet wurden, die Conficker verwendet, um Updates zu laden. Die Methode mit den Ersatzverbindungen ist erst seit der C-Variante bekannt.

Das mitgelieferte Skript versucht im wahrsten Sinne des Wortes, sich mit dem Wurm zu unterhalten. Dann wolle man die Antworten, die die infizierten PCs senden, analysieren und wenn möglich, nutzen, um ihnen eigene Befehle zu senden.

Um Informationen über den Datenaustausch zwischen infizierten PCs und den Conficker-Entwicklern zu bekommen, legte man eigens ein Honigtopf-Netzwerk an und analysierte die ausgehenden Informationen – was die Programmierer des Wurms mit ihren Bots kommunizierten sei “clever”, aber nicht bewegend, so Alfred Huger von Symantec.


Bowes und Huger warnen davor, sich voreilig auf Nmap zu verlassen, obwohl das Tool Conficker.C schon recht zuverlässig aufspüren kann. Das Abhören von Verbindungen sei eine unvollkommene Wissenschaft, sobald man etwas gefunden habe, das Conficker sein könnte, müsse man von Hand eingreifen, um den Fund identifizieren zu können. Dann müsse man mit den vielen Anti-Conficker-Tools anrücken, die inzwischen viele Hersteller kostenlos anbieten.

Bowes warnt davor, sich hundertprozentig auf Nmap zu verlassen. Firewalls und Portfilter können die Suche nach Conficker erschweren oder komplett verhindern und PCs, bei denen alle Ports geschlossen sind, können gar nicht untersucht werden. Für einige dieser Probleme gibt es bereits Workarounds.

Damit man Nmap auch auch infizierte Computer aus herunterladen kann, bietet das Team den Download auf mehreren Spiegelservern (Mirrors) an. Conficker blockiert den Zugriff auf bekannte Websites, die Anti-Conficker-Tools bereitstellen, darunter ist inzwischen auf die Website nmap.org.

Es ist nicht das erste Mal, dass man den eigenen Conde von Conficker gegen den Wurm selbst einsetzt. Im März entdeckten es drei Experten (darunter Dan Kaminsky) eine zuverlässige Methode, um den Wurm aufzuspüren.