News 27.03.2009, 02:27 Uhr

Conficker: Was passiert am 1. April?

Dieser Internetwurm ist in aller Munde. Eine Variante davon soll angeblich am 1. April seinen Schadensteil starten. Die Welt wird wohl trotzdem nicht untergehen.
Conficker (auch als Conflicker, Kido oder Downadup bekannt) ist der Computerwurm, der in den letzten Monaten für einige Schlagzeilen in Informatikfachblättern sorgte. Er verbreitet sich über Netzwerk- und Internetverbindungen sowie über USB-Speichermedien. Besonders innerhalb von verwundbaren Unternehmensnetzwerken soll er sich massiv verteilt haben. Unsere Schwesterzeitschrift Computerworld berichtete über einen Fall aus der Praxis.
Verschiedene Antivirenlabors haben Mitte März herausgefunden, dass die dritte Variante des Wurms (Conficker.C) am 1. April sein Verhalten ändern werde. Sie haben beim Erforschen des Codes ein «Trigger Date» (Auslösedatum) gefunden. Was genau passiert, ist weitgehend unklar. Doch gibt es laut F-Secure ein paar Dinge, die sie dem Programmcode des Schädlings entlocken konnten: Der Wurm wird aus 50'000 möglichen Domainnamen 500 auswählen, von denen er Updates herunterladen will, die neue Funktionen enthalten. Der Wurm werde dann auch seinen Verbreitungsmechanismus einstellen. Für die Virenbekämpfer ist es im Moment noch unmöglich auszumachen, welche Programme ein infizierter PC zu jenem Zeitpunkt herunterlädt und ausführt. Die Labors sind ja noch nicht im Besitz jener Dateien. Man vermutet aber, dass der Wurm bzw. sein Schöpfer die infizierten Rechner zu einem Botnetz zusammenschliesst, mit dem sich z. B. Angriffe auf wichtige Dienste fahren lassen.
«Es wird keine 'weltweite Virenattacke' geben»
Die Labors stehen noch ratlos vor den unbekannten Update-Dateien, auf die sich die infizierten PCs wohl ab dem 1. April stürzen werden. Und es ist ihnen auch nicht möglich, den 1. April auf den Testsystemen künstlich zu simulieren. Auf einem infizierten Test-PC die Uhr einfach auf den 1. April zu stellen, nütze nichts, schreibt z. B. F-Secure. Der Wurm gleicht sein Datum mit bekannten Websites wie Google oder Facebook ab. Und ihm einfach Pseudo-Websites in einem geschlossenen Netz vorzugaukeln, führe ebensowenig zum Erfolg. Denn auf den mutmasslichen Downloadseiten des Schädlings fehlen im Moment die Dateien, die Hinweise liefern könnten.
Trotzdem heisst es im F-Secure-Weblog optimistisch: «There is not going to be a global virus attack.» (Es wird keine weltweite Virenattacke geben.) Die noch immer infizierten PCs werden wohl irgendetwas tun. Ein nicht-infizierter PC werde wahrscheinlich gar nicht beeinträchtigt.
Die hier relevante Variante C des Wurms verhindere den Besuch bestimmter Sicherheits-Webseiten, wie z. B. www.f-secure.com. Wenn das misslinge, und der Besuch via www.fsecure.com (ohne Bindestrich) funktioniere, dann könne das ein Anzeichen für eine Conficker.C-Infektion sein.
Tipps: Installieren Sie alle Windows-Updates. Infizierte PCs lassen sich mit dem Easy-Clean-Programm von F-Secure säubern.



Kommentare
Avatar
BlackIceDefender
27.03.2009
Das liest sich wie die Donald Rumsfeld Statements: Wir wissen nicht wann, wir wissen nicht was und wir wissen nicht wo etwas passiert. Aber wir wissen, dass irgendwas passieren wird.

Avatar
Michel.Eichelberger
27.03.2009
Aber wir wissen, dass irgendwas passieren wird. Eine Mücke wird zu einem Elefanten =P Genauso wie es mit dem Thema Conficker steht^^

Avatar
BlackIceDefender
27.03.2009
Kann auch sein, dass eine Muecke durch einen Tropf Morgentau stark vergroessert wird. In dem Fall trampelt die Elefantenherde dann doch.

Avatar
Michel.Eichelberger
27.03.2009
Wir werden es sehen^^ Ich zerbrech mir da nicht so den Kopf. Sollte es stimmen, dass ein aktuell gepatchter Windows PC ausser Gefahr sei, dann habe ich in dem Sinne noch nicht viel zu befürchten :)

Avatar
BlackIceDefender
27.03.2009
Nun mal im Ernst.... der Conficker ist so was von steinalt. kommt von dem unsaeglichen Netbios over Tcp/Ip und SMBs. hab das im Artikel erwähnte Protokoll auf der Computerworld gelesen. Ich meine: Ein Angriff über Port 445!!!! Am anderen Ende der Leitung ist der IT-Leiter eines grossen Schweizer Versicherungskonzerns. Hoffentlich hat der dann mit den internen Sicherheitsbeauftragten / netzadmin ein etwas vertiefendes Gespräch. So als erzieherischen Bonus könnte der sich auch an den Kosten des Einsatzes des Herrn von OneConsult beteiligen. Die sind wohl sehr hoch ('paying through the nose'). dass in einer Großfirma so geschlampt wird macht es dummerweise möglich, dass der Rumsfeld recht haben könnte....

Avatar
Piranha
27.03.2009
Endlich mal wieder ein Virus, ...langsam wurde es langweilig.

Avatar
pagefault
27.03.2009
kommt von dem unsaeglichen Netbios over Tcp/Ip und SMBs.Ein Windows Netzwerk ohne NetBIOS over TCP/IP und SMB? :confused:

Avatar
BlackIceDefender
27.03.2009
Unsaeglich, weil das . wie man bei firewall-logs sieht, ins ganze netz hinaus quasselt wenn nicht an der quelle oder isp geblockt. nennt sich auch hintergrundrauschen. meines wissens ist die installation des netbios protokolls bei neueren windows server konfigurationen nicht mehr noetig. laeuft alles ueber standart ip dienste. ich erinnere mich an den pc berater, der bei meiner firma alles von os/2 auf windows umstellen musste. beu netbios netbeui kamen aus seinem buero nicht publizierbare ausdruecke.... meist wenn er und der netzadmin dem netz und dem windows was beizubringen versuchten.... manhmal haben wir die zwei aus mitleid am mittag zu einem bier eingeladen, damit sie am nachmittag weniger gestresst waren.

Avatar
pagefault
27.03.2009
meines wissens ist die installation des netbios protokolls bei neueren windows server konfigurationen nicht mehr noetig.Einverstanden, NETBIOS bzw genauer NETBEUI brauchst du - glücklicherweise - heutzutage nicht mehr. Nur, wie du ein Windows Netzwerk ohne SMB und NetBIOS over TCP/IP zum Laufen bringen willst, ist mir nicht klar :confused: SMB ist imho das Rückgrat aller Microsoft Netzwerk-Dienste - ohne die, geht (fast) gar nichts. SMB ist auch jenes Protokoll, das ein Samba-Server implementiert, damit die Windows-Clients denken, er sei ein Windows Domain Controller ;)

Avatar
BlackIceDefender
27.03.2009
Da hast Du wohl recht, ausser beim denkenden Client...das waer naemlich ganz patent, vor allem am Montagmorgen vor der Kaffeepause. diese angriffsvektoren via port 445 und die alten 130er sind schon lange bekannt. sollten am router zwischen lan und i-net sowohl hinein als auch hinaus gesperrt sein. deshalb erstaunt mich die zum elefanten gemorphte muecke conficker. ist wohl psychologische kriegsfuehrung, wie die wmd's die in Messopotamien dann doch nicht aus dem sand krochen.