Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Noch gefährlichere Variante der Internet-Wurms »Conficker« aufgetaucht

Viren / Malware

Noch gefährlichere Variante der Internet-Wurms »Conficker« aufgetaucht

23. Februar 2009, 10:28 Uhr | Bernd Reder
Die einzelnen Schritte, in denen sich Conficker mit dem einem "Rendezvous"-Punkt verbindet, also einer Domain, die der Angreifer eingerichtet hat.

Die IT-Beratungsfirma SRI International hat eine neue Version der Malware »Conficker« entdeckt. Die Variante mit dem Namen »Conficker B++« wird als Windows-DLL-Datei verteilt. Sie enthält unter anderem eine neue »Hintertür« (Backdoor), durch die Schadcode auf Rechner transferiert wird.

SRI International hat eine detaillierte Analyse von Conficker, seinen Varianten, den verwendeten Infektionsmethoden und dem Verbreitungsgrad veröffentlicht. Hier der Link zu dem Beitrag »An Analysis von Conficker’s Logic and Rendezvous Point«.

Version B++ von Conficker unterläuft einige der Gegenmaßnahmen, die IT-Sicherheitsfirmen mittlerweile getroffen haben. Diese haben nach Analyse des Codes eine Technik entwickelt, um die Andockstationen von Conficker auszuschalten, sprich den Zugriff auf Domains zu blocken, über die Conficker-verseuchte Rechner weitere Malware beziehen.

Der Wurm nimmt nach Infektion eines Systems Kontakt zu einem von Tausenden von »Rendezvous-Points« auf, auf Schadcode nachzuladen. Es handelt sich dabei um Domains, welche die Angreifer registrieren ließen.

Conficker B++ wurde nun so modifiziert, dass ein attackiertes System von einer beliebigen Web-Seite (URL) eine Win32-Executable-Datei herunterladen kann. Dieser File enthält laut SRI International Programmcode, der die bislang gebräuchlichen Sicherheitsmechanismen gegen Conficker austrickst. Welche Techniken die Hacker im Detail implementiert haben, gaben die Forscher nicht preis, vermutlich deshalb, um Nachahmern das Leben schwerer zu machen.

Mithilfe derWin32-Datei richten Angreifer auf dem Zielrechner eine Hintertür ein, über die sie weitere Programme auf das System transferieren können. Die Voraussetzung ist, dass auf den Rechnern die Windows-Versionen 95/98, 2000, XP, Vista oder Windows Server 2003 laufen.

Nach Einschätzung der Fachleute werden derzeit vor allem Rechner in Netzen von Privatleuten und in Small-/Home-Offices infiziert, zudem Systeme in schlecht gemanagten Firmennetzen. Einer der beliebtesten Verbreitungswege sind Dateien, die über Peer-to-Peer-Netze ausgetauscht werden, also gecrackte Programme, Filme und Musik-Files.

SRI International hat ermittelt, dass Conficker mittlerweile weltweit Systeme mit insgesamt 10,5 Millionen IP-Adressen befallen hat. Die meisten Rechner (Stand: 20. Februar) befinden sich in China (2,65 Millionen), gefolgt von Brasilien (1 Million) und Russland (836.000). Deutschland rangiert mit rund 196.000 infizierten Systemen knapp vor den USA auf Platz zwölf.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
Securepoint GmbH

Securepoint GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
gekartel AG

gekartel AG