Eigentlich sollte es am 1. April losgehen. Conficker, der Wurm, der bis zu zehn Millionen PCs befallen haben soll, werde losschlagen, womöglich erhebliche Schäden anrichten, wurde gemutmaßt. Passiert ist - fast - nichts. Denn tatsächlich verbreitete sich nur ein Update des ersten Wurms, versehen mit einer umfangreichen Adressdatenbank für Anlaufstellen im Netz, aus denen er sich zukünftig mit Updates versorgen soll.
Computerwurm Conficker: Was haben die Schadsoftware-Programmierer im Sinn?
In der Nacht zum 8. April habe sich Conficker mit einer Peer-to-Peer-Website in Korea verbunden und eine Datei heruntergeladen, melden die Virenforscher von TrendMicro. Möglicherweise handle es sich dabei um einen Keylogger oder ein ähnliches Programm, das versucht, Daten auszuspähen, sagt TrendMicro-Manager David Perry. Offenbar nutzt die neue Schadsoftware dabei Rootkit-Techniken, die seine Anwesenheit auf dem jeweiligen PC verschleiern sollen.
Durch eine Analyse der verschlüsselten Datei haben die Experten herausgefunden, dass das neue Programm den 3. Mai als Datum in sich trägt. An diesem Tag, so TrendMicro, werde es seine Aktivität einstellen. Bis dahin aber verbinde es sich nach dem Zufallsprinzip mit einer der folgenden Web-Seiten:
Die Virenexperten vermuten, die Software tue dies, um einerseits die Internet-Verbindung ihres Wirts-PCs und anderseits das jeweilige Datum zu prüfen. Als wichtigste Erkenntnis aus den bisherigen Analysen bezeichnen sie aber den Schluss, dass das via Conficker aus den gekaperten PCs aufgebaute Botnetz jetzt offenbar in voller Funktion sei, für die Verteilung von Wurm-Updates genutzt werde. Ein Probelauf also?
Über dieses Zombie-Netzwerk werde jedenfalls derzeit auch eine neue Conficker-Variante verteilt, die TrendMicro als WORM_DOWNAD.E bezeichnet. Diese Variante versuche, zu Servern Kontakt aufzunehmen, die dem seit langem bekannten Storm-Botnet zuzuordnen sind, das von einer als Waledac bezeichneten Schadsoftware aufgebaut wurde.
Über Sinn und Zweck dieser Verknüpfung tappen die Virenforscher noch im Dunkeln, vermuten nun aber, dass hinter Downadup/Conficker, Waledac und Storm ein und dieselbe Gruppe von Cyber-Kriminellen stehe. Zudem gehen sie davon aus, dass die Gefahren, die von Conficker ausgehen, nun zunehmen.
Umso wichtiger ist es für PC-User, ihren Rechner jetzt nach dem Schädling zu durchsuchen, Conficker gegebenenfalls zu entfernen. Dazu sollte man zunächst die von der Universität Bonn kostenlos bereitgestellten Tools verwenden, dann sämtliche Windows-Updates einspielen und schließlich seine Anti-Viren-Software auf den neuesten Stand bringen. Wichtig ist, hier die richtige Reihenfolge einzuhalten. So lange Conficker noch auf dem System sein Unwesen treibt, behindert er die Arbeit von Anti-Viren-Software.
mak
Auf anderen Social Networks posten:
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
| alles aus der Rubrik Netzwelt | Twitter | RSS |
| alles aus der Rubrik Tech | RSS |
| alles zum Thema Computersicherheit | RSS |
© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
Wetter
