Downadup/Conficker Rätselhafter Wurm befällt Millionen PCs

Aggressiver Angriff, ratlose Systemadministratoren: Ein höchst erfolgreicher Computerwurm hält IT-Sicherheitsexperten in Atem. Der Wurm Conficker oder Downadup befällt augenscheinlich wehrlose Windows-Rechner in Massen. Doch was will der Wurm?


IT-Sicherheitsunternehmen haben es in den letzten Jahren nicht leicht gehabt, in die Schlagzeilen zu kommen. Die Zeit der großen Virenwellen, die spektakuläre Schäden verursachten, schien vorbei. Die meisten modernen Schadprogramme verhalten sich unauffällig, schnüffeln auf fremden Rechnern und schädigen Einzelne sehr gezielt. Das liegt auch daran, dass das Gros der heutigen Viren von Kriminellen mit knallharten finanziellen Interessen in Umlauf gebracht wird.

Beispiellos erfolgreich

Computerwurm: Downadup verwirrt IT-Administratoren
Corbis

Computerwurm: Downadup verwirrt IT-Administratoren

Bei Downadup, von einigen IT-Sicherheitsfirmen auch Conficker genannt, ist vieles anders: Schon seit dem 21. November 2008 kursiert die erste Version des Wurms, der inzwischen mehrere weitere folgten. Er zielt auf eine seit Oktober 2008 bekannte und eigentlich längst geflickte Sicherheitslücke in Microsofts Windows-Serversoftware und verbreitet sich beispiellos erfolgreich. Auch, weil die neueren Varianten des Wurms ihre Verbreitungsmethoden variierten: Betroffen sind inzwischen alle denkbaren Windows-Varianten von 95 und 2000 über ME und 98 bis hin zu Server 2003, Windows XP und Vista. Inzwischen gilt der anfänglich als eher harmlos klassifizierte Wurm als hochaggressiv - zumindest, was seine Verbreitung angeht.

Denn obwohl er über einige Methoden verfügt, Schäden zu initiieren, hat er damit noch gar nicht begonnen. Bisher vermehrt er sich nur und verbreitet sich weiter, versucht zudem immer wieder, weitere Schadsoftware aus dem Netz zu laden. Obwohl inzwischen alle IT-Sicherheitsfirmen und Anbieter von Virenschutz-Software Programme gegen die Wurm-Varianten zur Verfügung stellen (siehe Linkverzeichnis), obwohl auch Microsoft selbst in der letzten Woche ein Sicherheits-Update zur Verfügung stellte, verbreitet sich Downadup immer schneller. Die IT-Sicherheitsunternehmen kommen mit der Zählung kaum mehr hinterher: Aktuell variieren die Schätzungen zwischen neun und zehn Millionen befallenen Rechnern.

Gezielt programmierte Zeitbombe?

Auf all diesen Rechnern liegt ein Wurm, der eine Hintertür ins Internet offen hält, um durch gezieltes Ansurfen bestimmter Web-Seiten weitere Schadsoftware nachzuladen. Der Satz der Adressen, die er ansurft, ist abhängig vom aktuellen Datum: Das greift der Wurm durch gezielten Zugriff auf bestimmte große Seiten ab.

Klingt wie eine sehr gezielt programmierte Zeitbombe, doch anscheinend hat die Phase, in der sie hochgehen soll, noch gar nicht begonnen. Jetzt rätseln IT-Sicherheitsexperten über die Gründe: Sind diese Millionen von Rechnern schlicht "Schläfer", die auf ein Signal hin erwachen und sich zu einem ferngesteuerten Botnetz verbinden, um gemeinsam Schäden zu verursachen - durch den massenhaften Versand von Spam-E-Mail, durch Attacken auf Web-Seiten?

Sehr dicker Rohrkrepierer?

Oder ist es so, wie Patrik Runald von der IT-Sicherheitsfirma F-Secure vermutet? Er hält Downadup für einen sehr dicken Rohrkrepierer. Die Schadsoftware, glaubt er, sei dafür gedacht gewesen, den Nutzer eines befallenen Rechners mit erlogenen Virenmeldungen unter Druck zu setzen, um ihm dann eine nutzlose, aber potentiell selbst schädliche angebliche Virenschutz-Software anzubieten. Die Methode ist bekannt und unter Cyber-Kriminellen beliebt: Solche Erpresser-Software gehört seit einigen Jahren zu den populärsten Methoden, Profit aus Virenverseuchungen zu schlagen.

Möglich, dass auch Downadup so abkassieren wollte - und versagte. Das ändert jedoch nichts daran, dass Downadup weiterhin ein erhebliches Schadpotential darstellt. So lange der Wurm nicht eingedämmt wird, lässt er sich nutzen, die betroffenen Rechner mit weiterer Schadsoftware zu verseuchen. Und trotz der Sicherheits-Updates der letzten Tage ist das nicht unwahrscheinlicher geworden.

Denn Downadup verbreitet sich nicht mehr nur über die eigentlich seit Monaten geflickte Microsoft-Sicherheitslücke. In einem Rückgriff auf Viren-Verbreitungsmethoden der Achtziger sucht der Wurm inzwischen gezielt nach mobilen Speichermedien wie USB-Sticks, um sich darauf zu kopieren - und sich so von Rechner zu Rechner zu übertragen. Nicht, dass er das nötig hätte: Stichproben in der letzten Woche zeigten, dass rund ein Drittel aller Firmennetzwerke den im Oktober zur Verfügung gestellten Flicken gegen die erste von Downadup ausgenutzte Sicherheitslücke gar nicht implementiert hatten.

IT-Sicherheitsexperten sehen da das eigentliche Problem. Gegen machtvolle Schadsoftware, die aktuelle Sicherheitslücken ausnutzt, hilft nur das sofortige Update. Da aber auch die Flut der Updates und Patches immer wieder für Probleme sorgt, prüfen die IT-Fachleute von Unternehmen oft gern vorab, ob zumindest die Flicken sicher sind.

Meistens geht das gut, denn eine richtig kraftvolle Virenwelle hat es in den letzten Jahren nicht mehr gegeben. Im Fall Downadup allerdings ging es gründlich daneben: Zumindest die erste Infektionswelle im November war weitgehend unnötig, denn es gab längst einen Schutz, als sie erstmals zuschlug. Was seitdem passiert, steht auf einem anderen Blatt - es ist ein Wettlauf der Kreativität der Virenautoren mit den Verteidigern der EDV in Unternehmen und IT-Sicherheitsfirmen. Bisher haben die Wurmautoren die Nase vorn.

Die Höhe der Zahl der befallenen Rechner wird heftig debattiert. Solche Angaben beruhen immer auf Schätzungen - zumal kaum ein Unternehmen freiwillig zugibt, betroffen zu sein. Im Fall Downadup gaben in den letzten Wochen mehrere Behörden zu, in Mitleidenschaft gezogen worden zu sein. Dazu gehörte das Rechnernetzwerk des neuseeländischen Gesundheitsministeriums. In diesem Fall brauchten die Experten rund 15 Tage, um das Netzwerk wieder zu säubern und zu sichern. Rund 2000 Computer an einem Dutzend Standorten waren befallen.

pat

Mehr zum Thema


© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.