Sophos identifiziert Angriffsziele
Warnung: Conficker-Wurm greift im März seriöse Webseiten an
Sophos ermahnt Betreiber von seriösen Webseiten und Internet-Nutzer im März zu erhöhter Wachsamkeit. Die Experten der Sophos Labs haben einen Mechanismus entdeckt, mit dem es der Conficker-Wurm darauf anlegt, Code oder Anweisungen seines Programmierers von seriösen Websites herunterzuladen.
http://llschnuerer.cmpdm.de//kn31820633">Regelmäßige Sicherung von Systemen bietet
mehr Sicherheit vor Bedrohungen wie Conficker
http://llschnuerer.cmpdm.de//kn31838059">F-Secure: 70 Prozent schätzen die Gefahren
bei der Internet-Nutzung falsch ein
Jeder PC, der mit Conficker infiziert ist, versucht, auf bestimmte Webseiten zuzugreifen. Die
Domain-Namen werden dabei automatisch aus algorithmisch berechneten Buchstabenfolgen gewählt.
Die Sophos Labs erwarten, dass einige seriöse Webseiten deshalb mit Denial-of-Service-Problemen
zu kämpfen haben werden, wenn sie von Hunderttausenden von PCs aus dem Conficker-Botnetz
kontaktiert werden.
Für die Internet-Nutzer besteht hingegen erst dann eine Gefahr, wenn es dem Programmierer des
Schädlings gelingt, tatsächlich Schadcode auf einer seriösen Website zu platzieren, den Conficker
dann auf die infizierten PCs herunterlädt. Noch ist offen, ob der Schadcode daraufhin das Botnetz
zum Versand von Spam verwendet oder andere gefährlichere Malware auf den PCs platziert.
Christoph Hardy, Security Consultant bei Sophos, erklärt: "Der Wurm generiert per Algorithmus
selbständig eine Liste mit Internet-Adressen, die quasi aus zufälligen Buchstabenkombinationen
bestehen. Diese werden dann von den infizierten PCs regelmäßig kontaktiert, um zu prüfen, ob dort
neue Befehle für Conficker hinterlegt wurden. Durch diesen Automatismus nützt es nichts, wenn
einzelne Websites abgeschaltet werden. Ziel des kriminellen Wurmautors ist es, dass Conficker auf
diesem Weg eines Tages eine Website erreicht, auf der er zuvor weitere Anweisungen für seinen Wurm
platzieren konnte. Sollte dies gelingen, wird das aus den infizierten Computern bestehende Botnetz
vermutlich dazu missbraucht, um Spam zu versenden oder, noch schlimmer, die PCs ahnungsloser
Anwender mit möglicherweise gefährlichem Schadcode zu infizieren."
Mittlerweile sind bereits einige seriöse Websites identifiziert, die Conficker an bestimmten
Tagen im März heimsuchen wird. Dazu gehören:
– am 8. März das Musikportal jogli.com,
– am 13. März die Domain wnsux.com, die auf die Website der US-amerikanischen Fluglinie
Southwest Airlines umleitet,
– am 18. März das Portal einer chinesischen Frauenorganisation unter qhflh.com sowie
– am 31. März praat.org, eine Webseite für computergestützte Sprachanalyse.
Es ist nicht auszuschließen, dass weitere, auch deutschsprachige Internet-Angebote angegriffen
werden, deren Domain-Namen aus mehr oder weniger zufällig zusammengesetzten Buchstabenfolgen
bestehen. Selbst wenn auf den Seiten kein Schadcode platziert wird, müssen die Betreiber dennoch
damit rechnen, dass ihre Websites unter dem Ansturm des Conficker-Botnets überlastet sein werden.
Sophos hat mit den Betreibern der bereits identifizierten Internet-Angebote Kontakt aufgenommen und
berät sie dabei, ihre Websites entsprechend zu sichern.
Um sich vor derartigen Angriffen zu schützen, empfiehlt Sophos Unternehmen und PC-Anwendern,
immer die neuesten Patches und Updates einzuspielen sowie stets aktuelle Antiviren-Software zu
verwenden. Administratoren von Webseiten sollten ihre Seiten ebenfalls stets mit aktualisierten
Programmversionen betreiben und darauf achten, dass der Server-Zugriff abgesichert ist.
LANline/wj
Lesen Sie mehr zum Thema
