Conficker/Downadup
Fachleute befürchten 50 Millionen verseuchte Rechner
Von Frank Patalong
Bisher hat der Conficker-Wurm nicht mehr getan, als sich zu vermehren. Das aber kann er so gut, dass die Warnungen davor immer schriller werden: Eine Epidemie sei das, der größte PC-Virenbefall seit Jahren. Weil er auch einer der unnötigsten ist, gerät einmal mehr Microsoft in die Kritik.
Anfang der Woche erntete das finnische IT-Sicherheitsunternehmen F-Secure, Entwickler von Anti-Viren-Software, weltweit Schlagzeilen mit der Nachricht, der bereits seit November 2008 bekannte Conficker-Wurm verbreite sich immer schneller, habe mittlerweile fast zehn Millionen Rechner befallen. Am Donnerstag legte der F-Secure-Konkurrent Panda Security, auch bekannt als PandaLabs, noch ein Scheit auf und veröffentlichte eine Statistik, wonach rund sechs Prozent aller Windows-PC von dem Wurm befallen seien.
DPA
Was ist hier los? Ob ein Rechner befallen ist oder nicht, bekommt der normale Nutzer im Fall Conficker gar nicht mit, bis der Wurm irgendwann aktiviert wird
Das wäre eine Menge Holz: Seit 1999 werden alljährlich mehr als hundert Millionen neue PC verkauft, über den Gesamtbestand gibt es wild divergierende Schätzungen. Die sind sich zumindest darin einig, dass man hier über eine Zahl zwischen einer und 1,5 Milliarden Maschinen spricht, von denen aktuell rund 89 Prozent unter Windows laufen. Wenn Panda recht hätte, wären demnach aktuell nicht zehn, sondern mehr als 50 Millionen PC verseucht.
Die sechs Prozent, kommentierten umgehend IT-Sicherheitsexperten, könnten trotzdem noch als zurückhaltende Schätzung durchgehen, denn die Statistik beruhe nur auf einem Online-Scan, den Panda im Web anbietet: Es seien darum nur die Besorgten und Verantwortungsvollen, die ihren Rechner vorsorglich untersuchen ließen, die hier erfasst worden - eine Minderheit der PC-Nutzer.
Da aber verschiedenen Messungen zufolge noch immer rund 30 Prozent aller Windows-Rechner für den Wurm anfällig seien, könnte die reale Verseuchungsquote auch entsprechend hoch liegen - zwischen 20 und 30 Prozent. Das ergäbe dann summa summarum bemerkenswerte 450 Millionen verseuchte PC. Das ist schwer zu glauben und wohl kaum wahrscheinlich.
CONFICKER: WER IST GEFÄHRDET?
Rechner, auf denen ein anderes Betriebssystem als Windows läuft, sind nicht betroffen. Sicher sind auch Windows-PC, die mit einem starken Passwort versehen sind, deren freigegebene Dateiverzeichnisse/Laufwerke gesichert sind, die die neuesten Sicherheits-Updates installiert haben und über ein Virenschutzprogramm verfügen, das Conficker/Downadup erfasst und löschen kann. Autorun sollte deaktiviert sein.
Windows-Systeme, deren Netzwerk nur mit einem schwachen Passwort-Schutz versehen ist. Die die aktuellen Sicherheits-Updates nicht empfangen haben. Deren Virenscanner und Update-Funktionen bereits durch den Wurm außer Gefecht gesetzt wurden. Dazu Einzelplatzrechner, deren freigegebene Ordner/Laufwerke nicht gesichert sind. Arbeitsplatzrechner mit schwachem Passwortschutz, aktivierter Autorun-Funktion, ungesicherten freigegebenen Verzeichnissen und bereits verseuchter Virensoftware.
Das derzeitige Zahlen-Stapeln grenzt also schon an Hysterie - insbesondere, da der Wurm zumindest in der ersten Phase seiner Verbreitung seine eigentlichen Aufgaben möglicherweise gar nicht erfüllte: Manche IT-Experten halten zumindest die ersten zwei Versionen des Wurms für Rohrkrepierer. Conficker sorgt trotzdem für eine Menge Nervosität, weil er über Eigenschaften verfügt, die ihn zu einem potentiell erheblichen Sicherheitsrisiko machen:
- Er zielt auf Netzwerke, betrifft also vornehmlich Unternehmen, Organisationen und Behörden. Privat-PC nimmt Conficker als Kollateralschäden mit.
- Er verbreitet sich auf mehreren Wegen und ist deshalb verhältnismäßig schwer einzudämmen.
- Er öffnet eine Hintertür ins Web, kann jede beliebige weitere Schadsoftware nachladen und kommuniziert mit seinen Urhebern.
- Er ist geeignet, ein Botnetz aufzubauen und zu kontrollieren. Das wäre selbst dann schon das größte seiner Art, wenn es nur aus den Rechnern bestünde, bei denen ein Befall bereits per Scan verifiziert wurde.
Wie viele Netzwerke Conficker bisher unterwandert hat, ist nicht bekannt: Mit so etwas gehen weder Firmen noch Behörden gern hausieren. Zu den bekannten Fällen gehört das Netzwerk der Gesundheitsbehörden in Neuseeland, die zwei Wochen brauchten, den Schädling wieder loszuwerden. Die Hose herunter ließen dann am Dienstag auch die Gesundheitsbehörden der britischen Stadt Sheffield, die den PC-Krankheitserreger auf rund zehn Prozent ihrer Rechner gefunden hatten.
DER ÜBER-WURM DOWNADUP
Die erste Angriffsmethode zielt auf eine Sicherheitslücke in der Microsoft-Server-Software. Danach verbreitet sich der Wurm innerhalb von Netzwerken, ohne dass die Computernutzer selbst etwas dazu beitragen müssten: Der Wurm versucht, mit Hilfe einer Software Administratoren-Passworte zu knacken. Gelingt dies, kann sich der Wurm frei innerhalb des Netzwerkes verbreiten. In einer dritten Phase streut sich der Wurm gezielt auf mobile Laufwerke, die beispielsweise per USB-Schnittstelle mit einem befallenen Rechner verbunden werden. Zusätzlich sucht der Wurm innerhalb von Netzwerken nach "freigegebenen Ordnern" und Netzlaufwerken. Rechner, die sich mit so einer Netzwerkressource verbinden, werden ebenfalls befallen. Ziel des Downadup-Wurms sind also vor allem Firmennetzwerke, doch auch private Rechner können befallen werden.
Da Downadup als Erstes die automatischen Update-Funktionen von Windows und von Virenschutz-Software lahmlegt, sollte man versuchen, diese Updates händisch einzuleiten. Privatnutzer finden die Windows-Funktion dafür nach Klick auf das Start-Symbol, dann unter "Hilfe und Support", dann unter "Den Computer mit Windows Update auf dem neusten Stand halten".
Zumindest vorerst sollte man zudem die Autorun-Funktion für USB-Sticks deaktivieren. Das ist allerdings leider nicht trivial und erfordert eine Änderung in der Registry-Datenbank: Wenn Sie das selbst nicht können, fragen Sie jemanden, der sich wirklich damit auskennt. Falsche Eingriffe in die Registry können die Funktion des PC empfindlich beeinträchtigen. Die Autorun-Funktion lässt sich auch mit einem Trick temporär abschalten: Einfach die Umschalt-Taste drücken und halten, während man einen USB-Stick oder ein anderes Wechsellaufwerk einsteckt. Erst nach erfolgter Anmeldung des Laufwerkes loslassen.
Wer absolut sichergehen will, dass sein Rechner sauber ist, kann auf eines der spezialisierten Tools der IT-Sicherheitsfirmen zurückgreifen oder auf eine Linux-Live-CD. Einige Firmen bieten so etwas als ISO-Image zum Download an: Man kann die heruntergeladene Datei auf eine CD brennen. Diese ist bootfähig und startet ein abgespecktes Linux-System, das mit Hilfe aktueller Virenscanner die Festplatte des befallenen Rechners unter Umgehung des Betriebssystems untersucht (siehe Linkverzeichnis).
Der spektakulärste Fall aber dürfte der Befall der Computersysteme der britischen Marine und des britischen Verteidigungsministeriums sein: Zeitweilig sollen über 70 Prozent aller Rechner auf ihren Schiffen und U-Booten betroffen gewesen sein. Verseucht wurden angeblich auch Teile von anderen Netzwerken des Verteidigungsministeriums.
Das will offiziell nicht bestätigen, dass es um Conficker geht, gibt aber genügend Details bekannt, um kaum einen anderen Schluss zuzulassen. Auch hier arbeiten die IT-Sicherheitsexperten bereits seit mehr als zwei Wochen daran, die Systeme wieder sauber zu bekommen. Schwierig ist das, weil es offenbar wiederholt zu Neuverseuchungen bereits gesäuberter Rechner kam. Das Verteidigungsministerium in London veröffentlichte einige beruhigende Statements, die Gerüchte darüber, dass auch die Luftwaffe betroffen sei, aber nicht eindämmen konnten.
Das Problem wiegt so schwer, dass sich das Ministerium bemüßigt fühlte, offiziell bekanntzugeben, dass die Rechner zwar versenkt seien, nicht jedoch die Marine ihrer Majestät: Die Einsatzfähigkeit sei voll gewährleistet - auch, wenn dieser vermaledeite Wurm gerade irgendwelche Daten nach Russland schicke.
Routenplaner
Benzinpreis-
Kfz-
Bußgeld-
Ferientermine
Bücher
Hörbuch-
Arztsuche
buch aktuell
Partnersuche
Das
Wetter
