Trittbrettfahrer

Conficker-Nachahmer lauert auf Opfer

06.04.2009
Von Katharina Friedmann
Microsoft-Sicherheitsforschern zufolge kursiert derzeit ein bereits betagter Wurm namens "Neeris", der neuerdings die Infektionsgepflogenheiten des berüchtigten Schädlings Conficker nachäfft.

Der schon im Mai 2005 entdeckte Neeris weist in seiner jüngsten Variante auffallende Ähnlichkeiten mit seinem berüchtigten Wurmkollegen Conficker auf: Er nutzt denselben, bereits seit Oktober 2008 gepatchten Bug im Windows Server Service aus wie dieser und verbreitet sich zudem ebenfalls über USB-Speichermedien, berichten Ziv Mador und Aaron Putnam, Forscher bei Microsofts Malware Protection Center.

Nach Spekulationen der beiden Sicherheitsexperten könnten Conficker-Urheber und Neeris-Autoren unter einer Decke stecken. "Neeris tauchte erstmals im Mai 2005 auf - demnach könnten die Conficker-Autoren hier die Nachäffer sein", so die Forscher. Den Exploit für die Windows-Schwachstelle MS08-067 als Angriffsvektor indes haben die Neeris-Entwickler offenbar bei den hinter Conficker stehenden Kriminellen abgeschaut. Die beiden Forscher halten es daher für denkbar, dass die Übeltäter in irgendeiner Form zusammenarbeiten oder zumindest Kenntnis von ihren jeweiligen "Produkten" haben.

Die jüngste Neeris-Varviante soll erst spät am 31. März und am 1. April vermehrt aufgetaucht sein - der Tag, an dem die jüngste Conficker-Version aktiviert wurde. Der in diesem Kontext befürchtete Großangriff des mit Hilfe des Schädlings aufgebauten Botnetzes auf das Internet war allerdings ausgeblieben. Der Neeris-Wurm sei aber von keiner Conficker-Variante nachgeladen worden - auch gebe es keinerlei Hinweise, dass der Wurm mit der Aktivierung des neuen Domain-Algorithmus von Conficker am 1. April in Zusammenhang stehe, so die Microsoft-Experten.

Angesichts der Ähnlichkeiten mit Conficker gilt das Gros der empfohlenen Schutzmaßnahmen auch für die Abwehr von Neeris. Anwender, die den Patch für besagten Windows-Bug noch nicht eingespielt haben, sollten dies umgehend tun - darüber hinaus empfehlen die beiden Experten, nur AutoPlay-Optionen zu nutzen, mit denen Anwender vertraut seien, oder die Autorun-Funktion ganz zu deaktivieren.

Zwar ist Neeris schon seit fast vier Jahren bekannt, doch bislang hat Microsoft sein monatlich aktualisiertes Malicious Software Removal Tool (MSRT) noch um keinen "Fingerprint" für den Wurm ergänzt. Den Schädling Conficker indes erkennt das Anti-Malware-Tool des Softwarekonzerns seit Mitte Januar.