Conficker C: Neue Variante birgt neue Gefahren

Bis zu zehn Millionen Rechner sollen weltweit bereits mit dem Wurm Conficker infiziert sein, jetzt haben die Schöpfer der Malware noch einen draufgelegt: Die Antiviren-Spezialisten in den Sicherheitslabors von Symantec haben eine neue Variante C der Malware Conficker entdeckt. Dabei handelt es sich laut einem Blog-Beitrag von Symantecs Security Response Team im Gegensatz zur Variante B++ um eine komplett überarbeitete Ausgabe von W32.Downadup (Conficker). Nach Angaben der Fachleute verwendet zwar auch die C-Variante der Schadsoftware keine grundsätzlich neuen Techniken, um sich weiterzuverbreiten, allerdings haben die Virenautoren die Maßnahmen »verbessert«, mit denen Conficker die Arbeit von Sicherheitsanalyse-Programmen und Antiviren-Software behindert.

So beendet der Wurm in der neuen Variante zum Beispiel deutlich mehr Prozesse, die mit dem Aufspielen von Sicherheitsupdates oder der Überwachung von befallenen Client-Rechnern in Zusammenhang stehen. Dazu gehören beispielsweise tcpview, regmon, filemon, sysclean und autoruns. Dies erschwert es noch mehr, den Schädling wieder von den Maschinen zu löschen, wenn er sich erst einmal dort eingenistet hat. Als weitere Neuerung enthält die C-Version des Wurms einen Algorithmus, der täglich bis zu 50.000 Internet-Domains erzeugt. Über solche Domänen, zu denen infizierte Rechner Kontakt aufnehmen, steuern die Cyber-Gangster die befallenen Systeme. Da mittlerweile IT-Sicherheitsfirmen, Software-Hersteller wie Microsoft und Internet-Service-Provider gemeinsam Jagd auf diese Domains machen, haben die Virenautoren diese Funktion ausgebaut. Bislang konnte Conficker nur 250 Domains pro Tag einrichten.