<i>April, April! :-) Bei dieser Meldung handelt es sich um einen Aprilscherz.</i>
Die Warnungen kamen häufig und eindringlich – und nun ist er da: Seitdem es am Dienstag zwei Forschern der Universität Bonn gelungen war, den
Algorithmus der Kommunikation des Wurmes
Conficker zum Kontrollserver zu entschlüsseln, überschlagen sich die Meldungen. Nach Angaben des kanadischen
Institute for Information Technology (IIT) konnte der Ursprung des Wurms nun bis zu einer IP-Adresse in Russland zurückverfolgt werden.
"Lässt nichts Gutes erahnen"
Der Mittwoch wurde bereits im Vorfeld als Datum des Ausbruchs bezeichnet. An diesem Tag erhält der Wurm neue Befehle über das so genannte Botnet: das Netz umfasst nach jüngsten Informationen drei bis vier Millionen infizierte PCs. Experten vermuten allerdings, dass die Dunkelziffer um einiges höher liegt. "Dank der neuen Einblicke in die Kommunikation der Computer untereinander und zum Kontrollserver können wir nun wichtige Schlüsse über die Funktionsweisen des Wurmes ziehen", teilte David Veda, Leiter der Sicherheitsabteilung des IIT, am Morgen mit. "Doch was wir gesehen haben, lässt nichts Gutes erahnen."
Dateien und Adressbücher: ausspioniert und verschickt
Nach Angaben des Forscherteams hat Conficker um Punkt null Uhr seinen passiven Zustand verlassen und sammelt seitdem Informationen über die Eigentümer befallener Rechner. "Im Visier hat Conficker dabei in erster Linie Multimediadateien", so Veda. Betroffen seien vor allem Dateien mit den Endungen .jpg, .gif, .avi, .mpeg, .wmv, .ogg und .mp3, aber auch Textdokumente und Präsentationen würden ausgelesen. Der Dateiname, das Erstellungsdatum sowie Informationen über die Größe und das Verzeichnis, in dem sie gespeichert wurde, würden protokolliert. Nach einem noch nicht genau erschlossenen Muster würden im Hintergrund für ausgewählte Dateien auch direkte Uploads gestartet: "Allem Anschein nach gleicht Conficker die vorliegenden Daten mit einer Liste von Schlüsselwörtern ab, die sowohl sexuelle Bezüge haben als auch für wirtschaftliche Relevanz sprechen könnten."
Weit prekärer: Der Wurm bemächtigt sich auch der Adressbücher, die in Outlook Express, Outlook und bei
Vista-Rechnern auch in Windows Mail gespeichert sind. "Praktisch wird der Nutzer dadurch zum gläsernen Menschen. Was wir hier haben, ist ein weltweites Datenleck", befürchtet Veda.
Erste Spuren führen nach Russland
Die Daten fasst Conficker anschließend in einer komprimierten ARJ-Datei zusammen und leitet diese über Umwege an einen zentralen Server weiter. "Wir konnten eine entsprechende IP-Adresse für genau diese Call-in-Anfragen in Russland ausmachen, allerdings hat Conficker mit dem heutigen Tag auch ein neues Protokoll für die Verschleierung der Datenwege empfangen." Ob und wie die gesammelten Daten benutzt werden, bleibt ebenfalls offen: Vorstellbar seien Szenarien, die von Spionage bis zu Erpressung reichen.
Dringende Sicherheitshinweise
Mittlerweile hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagiert und als Eilmaßnahme
einen Sicherheitsleitfaden für Nutzer veröffentlicht (
Server zur Zeit der Veröffentlichung überlastet). Allen Betroffenen wird dringend empfohlen, wichtige Daten zu sichern und zudem die automatische oder manuelle Update-Funktion von Windows zu nutzen. Sofern eine Firewall eingerichtet ist, sollte zudem die Möglichkeit genutzt werden, die Ports 11.532 und 12.134 zu blocken, da Conficker sie zur Kommunikation mit der Außenwelt nutzt. "Wer ganz auf Nummer sicher gehen möchte, sollte am heutigen Tag den Computer ausgeschaltet lassen", rät die Behörde. Ab 22 Uhr (MEZ) sei die größte Gefahr vorüber. Dieser Zeitpunkt entspricht null Uhr Moskauer Zeit, womit die erste Angriffswelle des Wurmes vorerst abgeschlossen sei.
Meldung empfehlen
News
