Wohl kaum ein Computerwurm hat weltweit im Vorfeld seines eigentlichen Ausbruchs für soviel Wirbel gesorgt wie
Conficker. Rund um den Globus wird spekuliert, welches Ziel die Schadsoftware eigentlich verfolgt. Selbst ein
von Microsoft ausgelobtes Kopfgeld in Höhe von 250.000 US-Dollar half nicht, die Urheber von Conficker ausfindig zu machen. Der
erste April wurde zunächst als Tag des großen Conficker-Angriffs genannt, verstrich allerdings ohne Schäden. Die ersten beiden Varianten A und B hatten sich lediglich vermehrt ohne größere Aktionen durchzuführen. Etwas aktiver war Conficker in der C-Version, die versuchte Kontakt zu Update-Servern aufzunehmen. Virenschutzexperten haben nun eine weitere Variante und Aktivitäten von Conficker festgestellt.
Updates per P2P-Netze
Die Virenjäger von Trend Micro hatten auf infizierten
Computern die als WORM_DOWNAD.E bezeichnete neuerliche Conficker-Mutation im TEMP-Verzeichnis von Windows entdeckt. Der Dateiname der E-Variante wird zufällig generiert, die Datei stammt vom 7. April. Als Quelle sei ein Peer-to-Peer Knoten in Korea ausgemacht worden. Kontakt nimmt Conficker nun unter anderem mit den populären Webseiten myspace.com, msn.com, ebay.com, cnn.com und and aol.com auf. Nach Angaben von Trend Micro erfolge dies allerdings vermutlich nur, um eine bestehende Internetverbindung zu testen. Allerdings würden über P2P-Verbindungen auch Updates in stark verschlüsselter Form nachgeladen. Trend Micro geht davon aus, dass hier Spionageprogramme wie etwa ein Keylogger installiert werden könnten. Eine Verbindung wurde auch zu dem bestens bekannten Storm-Botnet gefunden. Eventuell könnten hinter Conficker und Storm die gleichen Online-Kriminellen stecken.
Conficker deaktiviert sich am 3. Mai selbst
Die Virenschutzexperten stellten fest, dass die Conficker-Variante sich am 3. Mai selbst deaktivieren und sich dann nicht mehr selber weiterverbreiten wird. Zudem würde Conficker nach der Ausführung sehr effektiv seine Spuren auf dem infizierten PC verwischen. Unklar ist allerdings, was dann genau mit dem Wurm passiert und ob er sich lediglich zum "Schläfer" entwickelt, der jederzeit wieder aktiviert werden kann.
Auch die Antivirus-Spezialisten der Antimalware Labs von BitDefender hatten entdeckt, dass die neue Conficker-Version bisherige Gegenmaßnahmen der Hersteller von Antivirus-Programmen blockiert. Entsprechende neue Abwehrfunktionen mussten daher in die Schutzprogramme integriert werden. Auf einer speziellen Internetseite stellt BitDefender ein
kostenloses Tool zur Entfernung des Conficker-Wurms bereit.
Ob der eigene Rechner bereits mit Conficker infiziert wurde kann über eine
Test-Seite der Universität Bonn überprüft werden. Der Server ist derzeit allerdings aufgrund der zahlreichen Anfragen häufiger überlastet. Alternativ gibt es auch einen
Conficker-Infektionstest von der Uni Wien. Zudem sollten zum Schutz vor Conficker alle Windows-Updates und die aktuellste Virensoftware auf dem Rechner installiert sein.
Meldung empfehlen
News
