Conficker

Wie eine tickende Zeitbombe

Von Uli Ries

Conficker, auch Downadup genannt, geistert bereits seit November 2008 durchs Internet und verbreitet sich sehr schnell und aggressiv. Zu Beginn nutzte die Variante A des Wurms nur die durch einen außerplanmäßigen Windows-Patch bereits im Oktober 2008 geschlossene Lücke in Windows 2000, XP und Server 2003 aus. Da viele PCs in Privathaushalten, Büros und auch militärischen Einrichtungen selbst fast vier Monate nach Bereitstellen des Updates nicht gepatcht waren – Mitte Februar 2009 wurde eine Infektion einiger hundert PCs bei der Bundeswehr bekannt – konnte sich Conficker nach wie vor verbreiten. Eine flottere Installation des Patches hätte die grassierende Wurmepidemie stark eingeschränkt.

Glaubt man den diversen Statistiken, sollen mehr als acht Millionen PCs von Conficker infiziert sein. Damit dürfte der Wurm die am weitesten verbreitete Schadsoftware überhaupt sein. Die rasante Zunahme der erfolgreichen Infektionen verdankt der Schädling neuen Fähigkeiten, die der zweiten Generation namens Worm:Win32/Conficker.B eingepflanzt wurden: Conficker.B verbreitet sich im Intranet auch ohne Ausnutzen der Windows-Sicherheitslücke über USB-Wechselspeicher und Netzlaufwerke.

Selbstläufer per Autorun

Conficker.B versucht per Brute-Force-Attacke, schwache Admin-Passworte von Admin$-Shares zu knacken, kopiert sich nach erfolgreichem Crack in einen eigens erzeugten Ordner mit Zufallsnamen im Verzeichnis des Windows-Papierkorbs und erzeugt eine Autorun.inf-Datei im Stammverzeichnis des Laufwerks. So wird der Wurm automatisch gestartet, wenn die Autorun-Funktion von Windows aktiv ist. Vor dem Entdecken versucht sich Conficker nach der Infektion zu schützen, indem er die Änderungs- und Schreibrechte auf die von ihm verwendeten Registry-Einträge und Dateien einschränkt.

Um dem Ausbreiten von Conficker einen Riegel vorzuschieben, hat sich ein Zusammenschluss aus IT-Sicherheitsunternehmen und ICANN (Internet Corporation for Assigned Names and Numbers) geformt. Zusammen mit ICANN wollen VeriSign, Microsoft, AOL, Symantec, F-Secure, Georgia Tech und die Shadowserver Foundation gegen den Wurm vorgehen. Der Firmenverbund will unter anderem die zur Informations- und Update-Versorgung der Zombie-PCs registrierten Internet-Domains abschalten lassen. Außerdem setzt Microsoft 250.000 US$ Belohnung für Hinweise aus, die zur Enttarnung der Verantwortlichen hinter Conficker führen. Hinweise auf die Programmierer können per E-Mail an avreward@microsoft.com geschickt werden.

Flicken gegen Wurmfraß

Gratisprogramme wie die Symantecs Removal Tool erkennen und entfernen den Schädling. Problematisch ist das dennoch, da Conficker den Zugriff auf Webseiten sperrt, die Zeichenketten wie z.B. „download“, „virus“, „windowsupdate“, „symantec“ oder „microsoft“ in der URL haben. Es bleibt demnach nur, ein Removal-Tool über einen nicht infizierten PC herunterzuladen und per schreibgeschütztem USB-Stick auf den befallenen Rechner zu transportieren. Alternativ gibt es immer noch den Weg der manuellen Entfernung.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Unternehmens- oder Heim-PCs sind in lediglich fünf Schritten effektiv vor Conficker zu sichern, wie eine Anleitung von Microsoft erläutert. Am wichtigsten ist unbestritten die Installation des Windows-Updates MS08-67. Denn nur so bleiben PCs gegen Infektionen aus dem Internet geschützt. Denn es ist ein weit verbreiteter Irrglaube, Conficker verbreite sich nur per Spam-E-Mail oder müsse vom Anwender aktiv heruntergeladen und gestartet werden. Der Schädling wandert vielmehr auch ohne Zutun des Webnutzers auf den PC; der simple Aufruf einer infizierten Website genügt. Neben dem Windows-Update ist natürlich auch eine stets aktualisierte Antivirensoftware unabdingbar.

Firmen und Privathaushalte, die noch betagte Systeme mit Windows NT 4.0 oder Windows 98 betreiben, sollten unbedingt die Microsoft-Ratschläge befolgen, um auch diese Systeme zumindest ein Stück weit abzuhärten. Unabhängig vom Betriebssystem sollten Administratoren außerdem per Windows-Gruppenrichtlinie oder innerbetrieblicher Vereinbarung komplizierte und somit nicht per Brute-Force-Attacke zu knackende Passworte durchsetzen.

Serie: IT-Sicherheit
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.

Wichtig ist auch das Deaktivieren der Autorun-Funktion, entweder durch Anpassen der Registry oder durch eine Gruppenrichtlinie. Damit sich Autorun zuverlässig abschalten lässt, müssen Anwender und Administratoren von PCs mit Windows 2000, XP und Windows Server 2003 unbedingt einen passenden Patch installieren. Windows Vista und Windows Server 2008 müssen mit dem Update MS08-38 versehen werden.

Fazit: Offen für Nachlader

Bisher tut Conficker nach einhelliger Meinung aller Antivirenexperten nichts – außer massenhaft PCs zu infizieren. Keine Analyse kam bislang zu dem Schluss, dass Conficker Daten klaut oder als Homebanking-Trojaner fungiert. Dies ist ebenso mysteriös wie trügerisch.

Denn die Entwickler des Wurms können im Moment noch neue Conficker-Komponenten auf die infizierten PCs schicken, die die Maschinen auf Knopfdruck in Botnet-Zombies verwandeln. Mit mehr als acht Millionen dieser Zombies wäre Conficker über Nacht das mächtigste Botnet überhaupt.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links