Die Autoren des Internet-Wurms »Conficker« bringen immer neue und gefährlichere Unterarten des Schädlings in Umlauf. Die Sicherheitslabors von Symantec haben jetzt Variante C der Malware entdeckt.

Laut einem Blog-Beitrag von Symantecs Security Response Team ist eine komplett überarbeitete Ausgabe von W32.Downadup (Conficker) aufgetaucht. Zwar verwendet die C-Variante der Schadsoftware nach Angaben der Fachleute keine neuen Techniken, um sich weiterzuverbreiten. Dafür haben die Autoren die Maßnahmen verbessert, mit denen Conficker die Arbeit von Antiviren-Software und Sicherheitsanalyse-Programmen behindert.

So killt der Wurm deutlich mehr Prozesse, die mit dem Aufspielen von Sicherheitsupdates oder dem Monitoring von befallenen Client-Rechnern in Zusammenhang stehen. Dazu gehören beispielsweise tcpview, regmon, filemon, sysclean und autoruns. Dies erschwert es, den Schädling von den Maschinen zu löschen.

Bereits die älteren Ausgaben von Conficker sind in der Lage, Antiviren-Software zu deaktivieren. Zudem sperren sie, ebenso wie W32.Downadup C, den Zugang zu Web-Seiten mit Online-Virenscannern oder zu den Sites von IT-Sicherheitsfirmen wie F-Secure, G-Data, Kaspersky, McAfee, Symantec und Trend Micro.

Bis zu 50.000 neue Internet-Domains pro Tag

Eine weitere Neuerung der C-Version des Wurms: Sie enthält einen Algorithmus, der täglich bis zu 50.000 Internet-Domains erzeugt. Über solche Domänen, zu denen infizierte Rechner Kontakt aufnehmen, steuern die Cyber-Gangster die befallenen Systeme.

Bislang konnte Conficker nur 250 Domains pro Tag einrichten. Da mittlerweile IT-Sicherheitsfirmen, Software-Hersteller wie Microsoft und Internet-Service-Provider gemeinsam Jagd auf diese Domains machen, haben die Virenautoren diese Funktion ausgebaut.

Bestandssicherung statt Neuinfektionen

Nach Angaben von Symantec deuten die Aktivitäten der Urheber von Conficker darauf hin, dass diese nun den Schwerpunkt ihrer Aktivitäten daraufhin auslegen, den Bestand bereits infizierter Systeme zu sichern, sprich vor Antivirensoftware zu schützen. Die Zahl der Neuinfektionen nimmt laut Symantec derzeit nicht zu.

Nach übereinstimmenden Angaben mehrere IT-Sicherheitsfirmen dürften weltweit etwa 10 Millionen Windows-Systeme von Conficker befallen worden sein. Damit ist der Internet-Wurm einer der erfolgreichsten Schädling ein der IT-Historie.

Unklar ist weiterhin, zu welchem Zweck die infizierten Systeme eingesetzt werden sollen. Eine Vermutung ist, dass damit in großem Stil Distributed-Denial-of-Service-Attacken gestartet werden könnten. Zudem lassen sich diese Rechner, die von einer Zentrale ferngesteuert werden, als Versender von Spam-E-Mails und Malware verwenden.