Schadsoftware: »Conficker«
Deutsche Forscher mit kostenlosen Tools gegen Internet-Wurm »Conficker«
Im Rahmen des Projekts »Honeynet« haben Forscher der Uni Bonn mehrere Software-Tools entwickelt, die den Internet-Wurm »Conficker« in Netzwerken und auf Rechnern aufspüren. Eines davon untersucht den Arbeitsspeicher von Systemen und unterbindet die Aktivitäten des Schädlings.
Derzeit wartet die IT-Security-Community gespannt auf den 1. April. An diesem Tag, so die Vermutung einiger Sicherheitsexperten, könne das mehr als 12 Millionen Rechner starke Bot-Net aktiviert werden, das mithilfe von »Conficker« aufgebaut wurde.
Ob es zum »Big Bang« kommt, ist jedoch in der IT-Sicherheitsszene umstritten. Dean Turner von Symantecs »Global Intelligence Network« beispielsweise glaubt nicht daran, dass mithilfe der ferngesteuerten Systeme groß angelegte Denial-of-Service-Angriffe gestartet werden. »Die Leute hinter Conficker wollen Geld verdienen«, so der Fachmann, »und das können sie am besten, indem sie beispielsweise Bot-Net-Systeme für das Versenden von Spam einsetzen.«
Anti-Wurm-Werkzeuge
Mittlerweile haben Mitarbeiter des Instituts für Computerwissenschaften der Universität Bonn auf einer Web-Seite Abwehr-Tools gegen Conficker zusammengestellt. Entwickelt wurden sie im Rahmen des internationalen Projekts »Honeynet«.
Auf dieser Web-Seite der Uni Bonn stehen erste Versionen der Tools bereit, mit denen sich Conficker identifizieren lässt, und zwar in Netzwerken und auf Windows-Clients. Wie die beiden Fachleute Felix Leder und Tillmann Werner betonen, handelt es sich um »Proof-of-Concept«-Programme, die Anwender auf eigenes Risiko einsetzen können. Die Tools stehen kostenlos zum Herunterladen bereit.
»Conficker_mem_Killer« untersucht den Arbeitsspeicher von Rechnern. Stellt das Tool Aktivitäten von Conficker fest, beendet es die entsprechenden Prozesse. Aufrufen lässt sich die Software auf einem Windows-Rechner in einem DOS-Fenster.
»Regnfile.exe« spürt Conficker-Dateien und entsprechende Einträge in der Registry auf. Für IT-Fachleute interessanter ist das Python-Script »scs.py« (Simple Conficker Scanner). Mit seiner Hilfe lassen sich Netzwerke nach Conficker durchsuchen.
Conficker-Signaturen für Netwerkscanner
Die beiden Experten der Uni Bonn haben mittlerweile die Signaturen von Conficker an IT-Sicherheitsfirmen weitergegeben. Mehrere Virenscanner für Netzwerke wurden inzwischen damit »gefüttert«.
Dazu gehören McAfees »Foundstone Enterprise«, »Nessus« von Tenable Network Security, Programme von Qualys sowie der kostenlose Open-Source-Security-Scanner Nmap. Hier der Link zur Download-Seite von Nmap 4.85 Beta und des dazugehörigen grafischen Frontends Zenmap.
Für Privatanwender bietet die Sicherheitsfirma Bitdefender kostenlos ein Programm an, das Conficker von infizierten Systemen entfernt. Es steht auf http://bdtools.net zur Verfügung. Der Hersteller stellt zudem für Firmen eine netzwerkfähige Ausgabe des Tools bereit.
Im Video unten zeigt Bitdefender, wie das Programm funktioniert.
###NEWS_VIDEO_1###
Hier noch der Link zu einem englischsprachigen White-Paper von David Watson von Honeynet. In »Know Your Enemy: Containing Conficker« geht er auf mehrere Verfahren ein, mit denen sich Conficker identifizieren und eliminieren lässt.
Lesen Sie mehr zum Thema
