Zwist um Conflicker-Wurm

Schützen Sie sich vor dem gefährlichen Wurm. Foto:Delater Sicherheitsexperte F-Secure hat kurz vor dem Wochenende seine Schätzung darüber, wie viele Rechner bereits mit dem Conflicker-Wurm infiziert sind, auf neun Millionen erhöht. Wenn die Annahme richtig ist, dass pro Tag eine Million Opfer hinzu kommen, müssten es inzwischen noch weit mehr sein. Andere Sicherheitsexperten kommen auf ähnlich hohe Zahlen.Weil einige Kritiker diese jetzt aber als weit übertrieben bezeichnet haben, hat F-Secure seine Zählmethoden erläutert.

Die Arbeit der Experten

Im F-Secure-Weblog erklärt Toni Koivunen, wie er auf die hohe Anzahl infizierter Computer kommt. Der als «Conflicker», «Conficker» oder auch «Downadup» bekannte Schädling enthält einen Algorithmus, der täglich 250 neue Domain-Namen generiert. Er fragt diese ab, um Updates und neue Anweisungen zu erhalten. Antivirenfirmen wie F-Secure und Symantec haben den Wurm analysiert und einige der Domains vorab registriert. Sie überwachen und zählen die Anfragen infizierter Rechner an die vermeintlichen Update-Server. Mithilfe weiterer Kenntnisse über die Eigenarten des Schädlings berechnen sie dann die Zahl infizierter Systeme.

Symantec ist auf diesem Wege auf etwa drei bis vier Millionen Infektionen gekommen. Dort hängt man die Zahlen etwas niedriger, weil der Wurm-eigene Mechanismus zum Melden einer erfolgreichen Infektion auch dann greift, wenn der Schädling zwar über die Windows-Lücke in einen PC eindringen kann, dann aber ein Antivirenprogramm die eingeschleuste EXE-Datei erkennt und beseitigt, bevor Schaden entsteht.

Roel Schouwenberg von Kaspersky Labs verteidigt die hohen Schätzungen von F-Secure und meint, die Zahlen seien sogar eher noch zu niedrig. Sie basierten lediglich auf den Infektionen, die durch das Ausnutzen der Windows-Sicherheitslücke MS08-067 erfolgt seien. Der Wurm breite sich jedoch auch über Netzwerkfreigaben mit schwachen Passwörtern sowie über Wechselmedien wie USB-Sticks aus. Symantec hat vor allem in Argentinien und Chile rasante Zuwachsraten beobachtet und führt diese zum Teil auf Infektionen zurück, die über Freigaben erfolgreich sind.

Paul Roval vom Sicherheitsunternehmen Damballa hält solche Schätzungen für übertrieben. Er meint, es dürften eher 500'000 bis eine Million sein. Aber auch das ergäbe ein Botnet gigantischen Ausmasses. Wie Paul Roval ferner berichtet, habe man noch nicht beobachtet, dass die verseuchten Computer zum Versenden von Spammails missbraucht würden. Vielmehr würden auf den Rechnern betrügerische Antivirenprogramme installiert, um dafür die Provisionen einzustreichen.

Schützen Sie sich
Microsoft hatte bereits im Oktober ein Sicherheits-Update gegen die von dem Wurm genutzte Schwachstelle bereitgestellt. Das Sicherheitsunternehmen Qualys schätzt, dass dieses Update auf etwa 30 Prozent der Windows-PCs immer noch nicht installiert ist. Somit wäre etwa jeder dritte PC weiterhin anfällig für die Angriffe dieses Wurms.

Wurmbefall?
Was Sie im Falle einer Infektion tun können, empfiehlt Ihnen PCtipp-Sicherheitsexpertin Gaby Salvisberg. In diesem Artikel gibt Sie genaue Schritt-für-Schritt-Anleitungen, die auch für Computerlaien nachvollziehbar sind.