Der 1. April hält diesmal einen Scherz der weniger lustigen Art bereit. Sicherheitsexperten befürchten, dass der Conficker-Wurm wieder zuschlägt. Dessen Angriffe werden von Mal zu Mal gefährlicher.
Der Conficker-Wurm hält die IT-Welt in Atem. Admins und Sicherheitsbeauftragte sollten sich insbesondere für den 1. April rüsten. Experten befürchten, dass die Malware dann neue Requests an 500 Domains für ein Update schicken wird.
Was dieses Update genau machen wird, weiß im Moment niemand. Doch die bisherigen Versionen von Conficker - alias Downadup - haben sich als erstaunlich einfallsreich und tückisch erwiesen.
Einige Millionen PCs infiziert
So hat die Verson C, die letzte Iteration des Wurms, eine Peer-to-Peer-Kommunikation zwischen infizierten Systemen aufgebaut. Außerdem ist der Wurm imstande, beispielsweise Antiviren-Software außer Gefecht zu setzen und die Funktion Auto Update von PCs abzuschalten.
Der Wurm hat in allen Varianten bisher schon schon einige Millionen PCs infiziert. Das hat dazu geführt, dass Unternehmen wie Microsoft und AOL sich zusammengetan haben, um Domains stillzulegen, die Conficker attackiert.
Immerhin können Anwender die Malware auf ihrem PC relativ leicht entfernen, etwa mit den Removal-Tools, die Anbieter wie Symantec zur Verfügung stellen.
Variante A war harmlos
Dabei waren die erste Varianten von Conficker im Herbst 2008 noch einigermaßen harmlos. Ursprünglich hatte die Malware eine Sicherheitslücke in Microsofts Windows Server ausgenutzt.
Pierre-Marc Bureau, eine Analyst beim Security-Anbieter Eset sagt: »Die Variante A machte den Eindruck eines Testlauf, und sollte sich gar nicht weltweit verbreiten. Sie hat zum Beispiel nach einem ukrainischen Keyboard oder eine ukrainischen IP gesucht, bevor sie einen Rechner infiziert hat.«
Verbreitung über schwache Passwörter
Andere frühe Variante versuchten eine Datei namens loadav.exe herunterzuladen. Allerdings war die entsprechende Datei nie auf einen Webserver hochgeladen und konnten so von Conficker gar nicht heruntergeladen werden. Die zweite Version des Wurms verbreitete sich nicht nur über eine Schwachstelle in Windows Server aber auch über Netzwerke, die nur durch schwache Passwörter gesichert waren oder auch über USB-Sticks.
Die neue Variante des Conficker-Wurms ist auch eine Bewährungsprobe für die Antiviren-Hersteller. Sie müssen rechtzeitig Removal-Tools bereitstellen - und dürfen sich dabei keine einzige Panne leisten.
(Brian Prince, eWEEK.com/Mehmet Toprak)
Weblinks
Symantec Removal Tool
Microsoft-Patch für Windows Server
Eset
Conficker-Report auf PC Professionell
Raimund Genes, Technik-Chef beim Security-Spezialisten Trend Micro, über die Bedrohung durch den Conficker-Wurm und Unternehmen, die ihre Sicherheit vernachlässigen.
Niemand weiß, was am 1. April wirklich passieren wird. Die Malware wird dann stärker kommunizieren, und kann zusätzliche Komponenten herunterladen, um sich in einen Spam-Bot oder einen DDOS-Bot zu verwandeln.
Einige Sicherheits-Anbieter sprachen ja von 12 Millionen infizierten Rechnern, wir gehen von weniger als 4 Millionen Rechnern aus. Und dank des weltweiten Medienechos werden viele Systeme noch vor dem 1. April bereinigt werden. Also kein Grund zur Panik, das Internet wird nicht am 1. April sterben.
Sicherheitsindustrie steht Gewehr bei Fuß
Und die ganze IT Sicherheitsindustrie und Unternehmen wie Microsoft stehen natürlich Gewehr bei Fuß, um Anwendern zu helfen. Zum Beispiel haben wir bei Trend Micro die Cleanup-Tools auch auf Webseiten bereitgestellt, die von dem Schädling nicht blockiert werden (Conficker blockiert viele der bekannten Web-Domains von Antivirenherstellern und auch die Updates von Microsoft). Also sind wir auf alles vorbereitet.
WICHTIG:
das letzte update des Windows Malicious Software Removal Tool.
alle uodates der persönlchen antivirus software und firewall zulassen
das Symantec Removal Tool möglicherweise spechern zur entfernung des wurms, falls doch ein befall erfolgt ist
UND: dies NICHT für einen aprilscherz halten!
vorsicht ist die mami der porzellankiste!
Expertenstreit um conficker-Wurm:
http://www.it-im-unternehmen.de/news/2009/03/30/expertenstreit_um_conficker_wurm
Die größte Drohnen-Armee nach Star-Wars-Vorbild? Oder nur ein Aprilscherz? Die Experten streiten sich über die Wirkung von conficker.c und überlassen den Netzwerk-Administratoren, ob diese ihre User schützen.
Dass der Digital-Bösewicht am 1. April viel Ungemach über die Welt bringen wird, da sind sich einige Security-Experten sicher. Sie wissen nur noch nicht, wie: Conficker.c kann sich selbst ständig mit neuem Code versorgen. Während einige Institutionen und Antivirenhersteller sagen, sie hätten das Problem im Griff - schlimmer als das Jahr-2000-Problem sei es nicht - sieht es ein Experte anders.
Ram Mohan, Technikchef des Dot-info-Betreibers Afilias, hatte Microsoft und andere zu einer adhoc-Abwehrgemeinde gegen den ersten conficker-Wurm zusammengetrommelt und tut dies wohl als Mitglied des ICANN-Security-Vorstands zur Zeit noch einmal - auf höherem Level.
Er meint, das Y2K-Problem war nur ein Programmierfehler, Conficker aber sei geplant und bösartig. Dr Fiesling könne durchaus Teile des Internets ganz lahmlegen, wenn die Programmierguppe um den Wurm es darauf anlege. Mit ein paar Millionen infizierter PCs - auch die genaue Anzahl ist umstritten - stünde die größte Drohnen-Armee der Welt bereit. Krieg der Sterne sei eben nicht mehr gar so abwegig.
Ein großer Rundumschlag um die conficker-Entwicklung der letzten Monate, wie man den Schädling erkennt und beseitigt und was die verschiedenen Stimmen dazu sagen, findet sich in einem ausführlichen Report auf IT im Unternehmen. (Manfred Kohlen)
liebe grüße
von susanne
Virenalarm! Neue Conficker-Variante ist aktivVirenscanner 09.04.2009 | 13:32 Lange haben alle gewartet und nichts passierte. TrendLabs-Forscher Ivan Macalintal entdeckte dann gestern Abend die neue Variante des gerissenen Schädlings. Neuer Code verteilt sich nun aktiv über die P2P-Funktionen des berüchtigten Vorgängers. Der Wurm Conficker.E oder Downad.E verteilt sich über die Funktionalität im vorher verteilten Wurm. Der neue Digitalfiesling reaktiviert die Verbreitungsmechanismen des Vorgängers und arbeitet nun auch mit anderen Schädlingen zusammen - die TrendMicro-Labors glauben, einen Zusammenhang zu erkennen: Die Bösewichter Conficker und Waledac scheinen aus der selben Schmiede zu kommen. Die Würmer sprechen mit Servern, die jeweils von anderen Schädlingen genutzt wurden. Sicherheitsforscher sehen sogar einen Zusammenhang mit dem Stormbot-Netz. TrendMicro-Mann Rik Ferguson glaubt, es könnte sich bei den Urhebern aller drei großen Bedrohungen um ein und dieselbe "Cybercrime-Gang" handeln. Um 23:30 uhr abends publizierten auch die Kasperksy Labs USA, um halb zwölf nachts die Blog Malware Diaries, um 2 Uhr nachts nahm es die australische Website Techgeek in seine Eilmeldungen, das Blognetz "not just the News" (NJN) verteilte die Meldung um 3 Uhr nachts weltweit auf Websites - conficker häl die Welt in Atem. Für Techniker: Sogar die Ports, über die der digitale Hotzenplotz sich verbreitet und über die er Schädlinge miteinander kommunizieren lässt, sind per Zufallsgenerator produziert: und liegen zwischen 1024 und 10.000. Wie der Wurm nach bisherigem Wissen genau agiert, steht im Blog des Antivirenspezialisten. Vieles ist noh unbekannt. Die Website der unternehmensübergreifenden Conficker Working Group, die das <a style="border-bottom: 0.07em solid darkgreen;padding-bottom: 1px ! important;background-color: transparent ! important;font-size: 100% ! important;font-weight: normal ! impo
AntwortenLöschen