News 21.01.2009, 08:54 Uhr

Zwist um Conflicker-Wurm

Nach Angaben eines Sicherheitsexperten sollen bereits mehr als neun Millionen Rechner weltweit mit dem Conflicker-Wurm infiziert sein. Während die Kritiker zweifeln, unterstützen andere diese Schätzung.
Sicherheitsexperte F-Secure hat kurz vor dem Wochenende seine Schätzung darüber, wie viele Rechner bereits mit dem Conflicker-Wurm infiziert sind, auf neun Millionen erhöht. Wenn die Annahme richtig ist, dass pro Tag eine Million Opfer hinzu kommen, müssten es inzwischen noch weit mehr sein. Andere Sicherheitsexperten kommen auf ähnlich hohe Zahlen.Weil einige Kritiker diese jetzt aber als weit übertrieben bezeichnet haben, hat F-Secure seine Zählmethoden erläutert.
Die Arbeit der Experten
Im F-Secure-Weblog erklärt Toni Koivunen, wie er auf die hohe Anzahl infizierter Computer kommt. Der als «Conflicker», «Conficker» oder auch «Downadup» bekannte Schädling enthält einen Algorithmus, der täglich 250 neue Domain-Namen generiert. Er fragt diese ab, um Updates und neue Anweisungen zu erhalten. Antivirenfirmen wie F-Secure und Symantec haben den Wurm analysiert und einige der Domains vorab registriert. Sie überwachen und zählen die Anfragen infizierter Rechner an die vermeintlichen Update-Server. Mithilfe weiterer Kenntnisse über die Eigenarten des Schädlings berechnen sie dann die Zahl infizierter Systeme.
Symantec ist auf diesem Wege auf etwa drei bis vier Millionen Infektionen gekommen. Dort hängt man die Zahlen etwas niedriger, weil der Wurm-eigene Mechanismus zum Melden einer erfolgreichen Infektion auch dann greift, wenn der Schädling zwar über die Windows-Lücke in einen PC eindringen kann, dann aber ein Antivirenprogramm die eingeschleuste EXE-Datei erkennt und beseitigt, bevor Schaden entsteht.
Roel Schouwenberg von Kaspersky Labs verteidigt die hohen Schätzungen von F-Secure und meint, die Zahlen seien sogar eher noch zu niedrig. Sie basierten lediglich auf den Infektionen, die durch das Ausnutzen der Windows-Sicherheitslücke MS08-067 erfolgt seien. Der Wurm breite sich jedoch auch über Netzwerkfreigaben mit schwachen Passwörtern sowie über Wechselmedien wie USB-Sticks aus. Symantec hat vor allem in Argentinien und Chile rasante Zuwachsraten beobachtet und führt diese zum Teil auf Infektionen zurück, die über Freigaben erfolgreich sind.
Paul Roval vom Sicherheitsunternehmen Damballa hält solche Schätzungen für übertrieben. Er meint, es dürften eher 500'000 bis eine Million sein. Aber auch das ergäbe ein Botnet gigantischen Ausmasses. Wie Paul Roval ferner berichtet, habe man noch nicht beobachtet, dass die verseuchten Computer zum Versenden von Spammails missbraucht würden. Vielmehr würden auf den Rechnern betrügerische Antivirenprogramme installiert, um dafür die Provisionen einzustreichen.
Schützen Sie sich
Microsoft hatte bereits im Oktober ein Sicherheits-Update gegen die von dem Wurm genutzte Schwachstelle bereitgestellt. Das Sicherheitsunternehmen Qualys schätzt, dass dieses Update auf etwa 30 Prozent der Windows-PCs immer noch nicht installiert ist. Somit wäre etwa jeder dritte PC weiterhin anfällig für die Angriffe dieses Wurms.
Wurmbefall?
Was Sie im Falle einer Infektion tun können, empfiehlt Ihnen PCtipp-Sicherheitsexpertin Gaby Salvisberg. In diesem Artikel gibt Sie genaue Schritt-für-Schritt-Anleitungen, die auch für Computerlaien nachvollziehbar sind.
Computerworld-Kollege Jens Stark hat mit einem Schweizer Virejäger über den gefährlichen Wurm geplaudert. Das Interview finden Sie hier.


Kommentare

Avatar
Google
21.01.2009
Was macht das Ding eigentlich? Ich lese immer nur das viele infiziert sind, habe aber noch nie gehört was denn wirklich passiert..

Avatar
oceco
21.01.2009
Was der Wurm macht @Google Der Conficker-Wurm bildet ein Bot-Netz, d.h. er nimmt Kontakt auf zu mehreren Servern, um von diesen Anweisungen zu erhalten. Das kann auch das Herunterladen von Programmen bedeuten. Damit ist er in der Lage alles erdenkliche anzustellen. Übler geht's kaum mehr! Gruss/oceco

Avatar
Gaby Salvisberg
21.01.2009
HOT, ein "virenschutz" der zwar den virus erkennt aber trotzdem zulaesst, dass dieser seinen code ausfuehren kann, klar bevor schaden entsteht :D, ist das eine option oder feature bei symantec ? Wenn PC1 den PC2 infiziert, wird es wohl PC1 sein, der die erfolgreiche Infektion meldet. Und auf PC1 konnte der Code inkl. Melderoutine logischerweise bereits ausgeführt werden. Gaby

Avatar
BlackIceDefender
21.01.2009
Der Artikel ist reaktionär auf eine Diskussion im Forum und den Hinweis dort: Die im von Dir verlinkten Blogeintrag von F-Secure beschriebene Methodik macht es klarer. Interessant ist, dass der Patch von MS am 16.10.2008 veröffentlicht wurde. Und erst jetzt, also drei Monate spaeter kommt es zu einer Epidemie? Innert drei Monaten sollte doch ein MS Patch weltweit verteilt sein. Die ganze F-Secure Meldung 'smells fishy'. Ich sehe grundsätzlich das Thema so, dass Sicherheitswarnungen nur von unabhängigen Institutionen glaubwürdig sind. das ist gleich wie bei den WMDs, wo der Druck in Richtung des gewünschten Resultates so gross war, dass die nicht-unabhängigen Analysten die Resultate eben entsprechend formulierten. Da zitiere ich mich mal selbst betreffend Artikeln, die aufgrund von Forums-Diskussionen angestossen werden. Der Artikel ist eigentlich nur eine Reaktion auf diesen Thread: http://www.pctipp.ch/forum/showthread.php?t=10405 ... ich bin dann so frech, für die mühe, da etwas weiter zu schmökern, eine Rechnung zu schicken. ist ja gefuehlsmaessig etwa das dritte mal, dass plagiiert wird. oder heisst es plagiatet. plagio plagias plagiat....ich verrechne pro stunde ... von hinten tun. +1. 500 /h Coceira hat da schon was zum Symantec Antivir: 1. Die sind ein gutes Opfer, um auf die Schippe genommen zu werden. An der Fasnacht werden ja auch immer so die selben... 2. das Zitat entweder etwas unglücklich formuliert ist oder eben auf die bedenkliche Situation hinweist dass a: der Wurm eingeschleust werden konnte b: erst danach das antimalware dann das nachgeladene programm erkennt. da Symantec da wohl mit ihren eigenen Produkten testet, ist der Schluss von coceira auf den gelben WITZ eben schon richtig. Allerdings ist Symantec da auch naiv. da der wurm autogenetisch polymorph ist, kann das nachgeladene auch entsprechend verpackt werden, um Signatur-Datenbanken zu umgehen. der code dazu scheint in dem wurm eingebaut zu sein. [edit] Die Autoren sind ziemlich sicher bekannt. das Geplänkel betreffend der Domains ist Ablenkungsmaneuver. [edit2] eigentlich müsste in diesen Artikeln ganz klar darauf hingewiesen werden, dass das Teil auch P2P benutzt, denn das ist die eigentliche Gefahr. Das Teil ist übrigens kriminologisch neutral: Angebote gehen sowohl an LE als auch an die andere Seite.