Bösartiger Zwilling

Conficker bekommt Verstärkung

20.02.2009
Von Katharina Friedmann 
Die hinter dem berüchtigten Wurm Conficker (alias "Downadup") stehenden Malware-Autoren haben offenbar eine neue, noch raffiniertere Variante des Schädlings nachgeschoben.

Wie das Malware Threat Center des Nonprofit-Forschungsinstitutes SRI International berichtet, kursiert mittlerweile eine neue, als "Conficker B++" bezeichnete Version des agilen Wurms, der die Security-Community seit geraumer Zeit in Atem hält. Nach den gestern veröffentlichten Details ist der neue Code auf den ersten Blick nahezu identisch mit der Vorgängerversion "Conficker B+". Doch nutzt der Conficker-Zwilling neue Techniken zum Nachladen von Schadcode, die seinen Urhebern ungleich mehr Flexibilität im Hinblick darauf verleihen sollen, was sie mit den befallenden PCs anstellen können.

Conficker-infizierte Systeme lassen sich für alle möglichen Schandtaten missbrauchen - darunter zum Versenden von Spam, für Denial-of-Service-Attacken (DoS) oder zum Aufzeichnen von Tastatureingaben. Eine kürzlich gegründete Arbeitsgruppe namens "Conficker Cabal" konnte dies bislang jedoch weitgehend verhindern: Ihr gelang es, den von Conficker genutzten Algorithmus zu knacken, den die Malware nutzt, um einen von Tausenden "Rendezvous-Punkten" im Internet zu finden, wo sie weiteren Code nachladen kann. Die Anti-Conficker-Gruppe hat die zur Kontaktaufnahme genutzten, einzigartigen Domain-Namen (etwa "pwulrrog.org") registriert und so für die Kriminellen unbrauchbar gemacht.

Auch die B++-Variante nutzt diesen Algorithmus, um nach Kontaktstellen im Web Ausschau zu halten. Darüber hinaus soll sie jedoch zwei neue Techniken bieten, die es den Cyber-Gangstern ermöglichen könnten, ganz auf Rendezvous-Punkte zu verzichten. Das würde bedeuten, dass sich die bislang erfolgreichste Gegenwehr der Gruppe umgehen ließe. Ob Conficker B++ als Reaktion auf die Arbeit der Cabal-Gruppe kreiert wurde, sei nicht klar. In jedem Fall aber diene die neue Wurmvariante dazu, das Conficker-Botnet noch robuster zu machen, und könne einen Teil der bisherigen Abwehrmaßnahmen zunichte machen, so die Experten.

Conficker verbreitet sich auf mehreren Wegen: Der Wurm nutzt einen bereits gepatchten Windows-Bug aus, um PCs im Firmennetz anzugreifen, macht sich dazu aber auch mit schwachen Passwörtern geschützte Administratoren-Konten zunutze. Darüber hinaus befällt er Systeme über infizierte USB-Speichermedien. Alle Varianten des Schädlings zusammen haben bislang rund 10,5 Millionen Systeme infiziert, so die aktuelle Bilanz von SRI.