Conficker: Neue Variante B++ noch gefährlicher
Experten der IT-Beratungsfirma SRI International haben die neue Variante »Conficker B++« des derzeit wütenden Internet-Wurms identifiziert. Sie wird als Windows-DLL-Datei verteilt und enthält unter anderem eine neue »Hintertür« (Backdoor), durch die der Schadcode auf Rechner übertragen wird.
- Conficker: Neue Variante B++ noch gefährlicher
- Neue Hintertür
Die IT-Beratungsfirma SRI International hat unter dem Titel »An Analysis von Conficker’s Logic and Rendezvous Point« eine detaillierte Analyse des Conficker-Wurms, seiner Varianten, den verwendeten Infektionsmethoden und dem Verbreitungsgrad veröffentlicht. Dabei wurde auch eine neue Variante des Wurms entdeckt, die eine neue Hintertür nutzt und noch gefährlicher ist. Die Version B++ von Conficker unterläuft auch einige der Gegenmaßnahmen, mit denen die IT-Sicherheitsfirmen ihre Produkte in der Zwischenzeit gegen den Wurm ausgestattet haben.
So haben die Experten nach eingehenden Analysen eine Möglichkeit entwickelt, den Wurm auszubremsen, indem sie seine Andockstationen ausschalten, sprich den Zugriff auf Domains zu blocken, über die Conficker-verseuchte Rechner weitere Malware beziehen. Der Wurm nimmt nach Infektion eines Systems Kontakt zu einem von Tausenden von »Rendezvous-Points« auf, auf Schadcode nachzuladen. Es handelt sich dabei um Domains, welche die Angreifer registrieren ließen. Conficker B++ wurde nun so modifiziert, dass ein attackiertes System von einer beliebigen Web-Seite (URL) eine Win32-Executable-Datei herunterladen kann. Dieser File enthält laut SRI International Programmcode, der die bislang gebräuchlichen Sicherheitsmechanismen gegen Conficker austrickst. Welche Techniken die Hacker im Detail implementiert haben, gaben die Forscher nicht preis, vermutlich deshalb, um Nachahmern das Leben schwerer zu machen.
