Conficker-Wurm schlägt zurück
Es schien, als hätte die IT-Industrie Conficker das Wasser abgegraben, indem sie die für Conficker zur Kommunikation notwendigen Domains sperrte. Jetzt schlagen die nach wie vor unbekannten Conficker-Autoren zurück und lassen eine neue Wurmvariante täglich 50.000 Domains errechnen - anstatt bisher überschaubare 250 Stück.
Nach wie vor gibt Conficker den Sicherheitsexperten Rätsel auf: Der Schädling verbreitet sich
weiterhin, zeigt davon abgesehen aber keinerlei Aktivität. Die Gefahr, dass die laut
Microsoft-Virenexperte Jeff Williams millionenfach verbreitete Malware bösartige Aktivitäten zeigt,
schien zwischenzeitlich gebannt: Ein
Zusammenschluss
verschiedener IT-Unternehmen mit
ICANN blockiert die 250 Domains, die Conficker
täglich per Algorithmus generiert, um sich von dort neue Instruktionen oder Schadroutinen
abzuholen.
Jetzt legen die Programmierer von Conficker laut
Symantec
nach und ersetzen die Malware auf bereits infizierten Systemen durch eine neue Variante. Die
auffälligste Neuerung zeigt, dass die Cyber-Kriminellen ihren Schützling noch nicht aufgegeben
haben: Conficker erzeugt jetzt 50.000 Domain-Namen pro Tag und nutzt außerdem 116 verschiedene
Domain-Suffixe wie .com, .edu oder .de. Ein deutliches Zeichen, dass die bisherigen Gegenmaßnahmen
den Conficker-Schöpfern nicht schmecken und sie nach neuen Wegen suchen, weiterhin mit den
Zombie-PCs in Kontakt treten zu können.
Außerdem ist die neue Variante in der Lage, gezielt Tools zur Systemanalyse sowie
Antivirenprogramme auszuschalten: Der Schädling beendet laut Symantec unter anderem die Prozesse,
die beispielsweise wireshark, tcpview, regmon, ms08-06, autoruns oder confick im Namen enthalten.
Das spricht dafür, dass die bereits infizierten Maschinen möglichst lange unentdeckt bleiben
sollen. Neue Verbreitungswege eröffnen sich dem Schädling auf diese Weise nicht. Symantec hat seit
der Entdeckung der neuen Variante auch keinen signifikanten Anstieg der Infektionen
festgestellt.
Uli Ries/wg
