Conficker: Was passiert am 1. April?

Conficker (auch als Conflicker, Kido oder Downadup bekannt) ist der Computerwurm, der in den letzten Monaten für einige Schlagzeilen in Informatikfachblättern sorgte. Er verbreitet sich über Netzwerk- und Internetverbindungen sowie über USB-Speichermedien. Besonders innerhalb von verwundbaren Unternehmensnetzwerken soll er sich massiv verteilt haben. Unsere Schwesterzeitschrift Computerworld berichtete über einen Fall aus der Praxis.

Verschiedene Antivirenlabors haben Mitte März herausgefunden, dass die dritte Variante des Wurms (Conficker.C) am 1. April sein Verhalten ändern werde. Sie haben beim Erforschen des Codes ein «Trigger Date» (Auslösedatum) gefunden. Was genau passiert, ist weitgehend unklar. Doch gibt es laut F-Secure ein paar Dinge, die sie dem Programmcode des Schädlings entlocken konnten: Der Wurm wird aus 50'000 möglichen Domainnamen 500 auswählen, von denen er Updates herunterladen will, die neue Funktionen enthalten. Der Wurm werde dann auch seinen Verbreitungsmechanismus einstellen. Für die Virenbekämpfer ist es im Moment noch unmöglich auszumachen, welche Programme ein infizierter PC zu jenem Zeitpunkt herunterlädt und ausführt. Die Labors sind ja noch nicht im Besitz jener Dateien. Man vermutet aber, dass der Wurm bzw. sein Schöpfer die infizierten Rechner zu einem Botnetz  zusammenschliesst, mit dem sich z. B. Angriffe auf wichtige Dienste fahren lassen.

«Es wird keine 'weltweite Virenattacke' geben»

Die Labors stehen noch ratlos vor den unbekannten Update-Dateien, auf die sich die infizierten PCs wohl ab dem 1. April stürzen werden. Und es ist ihnen auch nicht möglich, den 1. April auf den Testsystemen künstlich zu simulieren. Auf einem infizierten Test-PC die Uhr einfach auf den 1. April zu stellen, nütze nichts, schreibt z. B. F-Secure. Der Wurm gleicht sein Datum mit bekannten Websites wie Google oder Facebook ab. Und ihm einfach Pseudo-Websites in einem geschlossenen Netz vorzugaukeln, führe ebensowenig zum Erfolg. Denn auf den mutmasslichen Downloadseiten des Schädlings fehlen im Moment die Dateien, die Hinweise liefern könnten.

Trotzdem heisst es im F-Secure-Weblog optimistisch: «There is not going to be a global virus attack.» (Es wird keine weltweite Virenattacke geben.) Die noch immer infizierten PCs werden wohl irgendetwas tun. Ein nicht-infizierter PC werde wahrscheinlich gar nicht beeinträchtigt.

Die hier relevante Variante C des Wurms verhindere den Besuch bestimmter Sicherheits-Webseiten, wie z. B. www.f-secure.com. Wenn das misslinge, und der Besuch via www.fsecure.com (ohne Bindestrich) funktioniere, dann könne das ein Anzeichen für eine Conficker.C-Infektion sein.

Tipps: Installieren Sie alle Windows-Updates. Infizierte PCs lassen sich mit dem Easy-Clean-Programm von F-Secure säubern.