Höchste Zeit fürs Patchen

Windows-Wurm baut neues Botnetz auf

02.12.2008
Von Katharina Friedmann 
Der Wurm, der eine im Oktober mittels Not-Patch geflickte, kritische Lücke in Microsofts Windows Server Service ausnutzt, dient Cyber-Kriminellen offenbar zum Aufbau einer neuen Zombie-Armee.

Laut Ivan Macalintal, Senior Research Engineer bei Trend Micro, handelt es sich bei dem von dem Sicherheitsanbieter als "Downad.a" bezeichneten Wurm (Microsoft nennt ihn "Conficker.a" und Symantec "Downadup") um eine Kernkomponente eines im Aufbau befindlichen Botnetzes. Mit derzeit geschätzten 500.000 Zombierechnern sei es zwar noch nicht mit riesigen Bot-Herden wie "Kraken" oder früher "Storm" zu vergleichen, doch beginne es auch gerade erst zu wachsen, so der Experte.

Nach einer Microsoft-Warnung in der vergangenen Woche steht der Schädling hinter einer ganzen Reihe von Exploits für einen Bug im Server-Dienst von Windows. Eine zunächst überschaubare Anzahl infizierter PCs in Südostasien hatte den Softwarekonzern am 23. Oktober zu einem Patch außerhalb seines regulären Update-Zyklus' veranlasst, um die Sicherheitslücke schnell zu stopfen. Aus Sicht von Trend-Micro-Forscher Macalintal ist der Wurm aufgrund seines Schadpotenzials dennoch als globale Bedrohung zu betrachten. Ihm zufolge hat Trend Micro inzwischen infizierte IP-Adressen in ISP-Netzen (Internet Service Provider) in den USA, China, Indien, dem Nahen Osten, Europa und Lateinamerika entdeckt. Aufgetaucht sei der Schädling etwa vor eineinhalb Wochen, um sich dann kurz vor Thanksgiving rapide zu verbreiten, berichtet Macalintal.

Dem Sicherheitsexperten zufolge wird das Botnet offenbar von einer neuen Cybergang aufgebaut und nicht etwa von einer der Banden, die mit dem Abschalten der Spam-freundlichen kalifornischen Hosting-Firma McColo vor zwei Wochen die Kontrolle über ihre gekaperten Rechner (Bots) eingebüßt hatten. Nach der Schließung des Hosters war das Spam-Volumen abrupt zurückgegangen - wenn auch nur vorübergehend: Einige Messaging-Security-Spezialisten berichteten bereits in der vergangenen Woche von einem erneuten Anstieg des elektronischen Werbemülls, da die betroffenen E-Schrott-Versender die Kontrolle über ihre Botnetze offenbar zurück gewonnen haben.

Nutzern, die den Microsoft-Patch MS08-067 immer noch nicht eingespielt haben, empfiehlt Macalintal, dies umgehend nachzuholen.