F-Secure warnt

Wurm treibt in Firmennetzen sein Unwesen

07.01.2009
Von Katharina Friedmann
Seit Neujahr kursiert eine neue Variante des Wurms "Downadup", auch "Conficker" genannt, die Windows-PCs und Server befällt und eine ganze Reihe von Problemen verursacht.

F-Secure warnt vor einer neuen Version des Wurms Downadup, die dem Sicherheitsanbieter zufolge seit Anfang Januar Unternehmensnetze bedroht. Laut den Experten handelt es sich bei den zur Downadup-Familie gehörigen Netzschädlingen um eine besonders hartnäckige Malware-Spezies, die vor allem bei von innen erfolgten Netzinfektionen schwer zu entfernen ist.

Downadup nutzt verschiedene Möglichkeiten, um sich zu verbreiten - darunter die im Herbst behobene Schwachstelle im Windows Server Service. Zudem versucht der Wurm, Netzpasswörter zu eruieren, und infiziert USB-Sticks. Einmal im Netz, ist die Schadsoftware den Experten zufolge nur schwer loszuwerden. Ein typisches Problem in den befallenen Netzen stellt demnach das Blockieren des Netzzugangs für bestimmte Accounts dar: Da der Wurm systematisch Passwörter ausprobiert, werden einige Nutzer aufgrund zu vieler falscher Eingaben oft automatisch gesperrt.

Hat sich der Wurm auf einem Rechner eingenistet, verteidigt er sich, indem er sich durch Restart in den Boot-Prozess des Computers integriert und Zugriffsrechte für seine Files und Registry Keys vergibt. Anwender können diese daher weder löschen noch ändern.

Darüber hinaus lädt der Wurm ständig modifizierte Versionen seiner selbst nach und nutzt dabei eine lange Liste von Web-Seiten. Generiert werden die Namen dieser Sites mit Hilfe eines Algorithmus, als Basis dienen das aktuelle Datum und die Uhrzeit. Da es unzählige verschiedene Domainnamen gibt, die der Schädling nutzen kann, ist es für Hersteller von Sicherheitslösungen schwierig, alle Seiten zeitnah aufzuspüren und zu sperren.

Um eine Infektion zu verhindern, empfiehlt F-Secure,

  • sicherzustellen, dass die aktuellsten Microsoft Patches installiert sind;

  • zu überprüfen, ob die eingesetzte Antivirenlösung auf dem neuesten Stand ist und die aktuellen Updates installiert sind;

  • die Funktionen AUTORUN und AUTOPLAY für USB-Sticks zu deaktivieren;

  • auf starke Domain-Passwörter der Nutzer zu achten sowie

  • den Domain-Passwörtern der Administratoren besondere Aufmerksamkeit zu schenken.

Unternehmen, deren Netz bereits infiziert, sollten im Internet nachprüfen, ob der Hersteller des eingesetzten Antivirenprodukts bereits eine Anleitung zur Desinfektion bereitgestellt hat, darüber hinaus die Nutzung von USB-Sticks beschränken und unnötigen Datenverkehr bereits an der Firewall blockieren. Laut F-Secure ist die Entwurmung im konkreten Fall komplex und kann die Abschaltung einiger Netzbereiche erfordern.

Der Sicherheitsanbieter stellt ein kostenloses Tool zum Entfernen der bekannten Downadup-Varianten zur Verfügung und arbeitet eigenen Angaben zufolge mit bereits betroffenen Unternehmen sowie CERT-Organisationen (Computer Emergency Response Team) zusammen, um den Ausbruch zu stoppen.