Conficker in Kärnten: Nach der Landesregierung nun die Spitäler

Nach den Computern der Kärntner Landesregierung hat der Conficker-Wurm auch die PCs der Kärntner Krankenanstaltengesellschaft KABEG in mindestens drei Spitälern befallen. Wie bei der Landesregierung sind auch dort rund 3000 Rechner betroffen. Im Unterschied zur Landesregierung sollen die Krankenhaussysteme allerdings das einschlägige Sicherheitsupdate bereits zuvor installiert gehabt haben. Ein weiterer Unterschied ist, dass es dem Wurm gelungen sein soll, weitere Schädlinge auf die befallenen Spitals-Computer zu laden.

Unbestätigten Informationen zufolge soll Conficker über einen Laptop in das KABEG-Netzwerk eingesickert sein. Von dem Laptop aus soll er sich auf tausende gemeinsam genutzte Verzeichnisse verteilt haben, die nicht mit Passwörtern gesichert sind. Der Grund für die mangelhafte Absicherung soll darin liegen, dass die Krankenhäuser verschiedene medizinische Geräte einsetzen, die Daten übermitteln, aber nicht mit Passwörtern für die Verzeichnisse umgehen können. Um den reibungslosen Betrieb zu ermöglichen, wurde daher auf die Einrichtung eines Kennwortschutzes verzichtet, was sich nun als teurer Fehler erwiesen hat. Andere Quellen sprechen von einem USB-Stick als Ausgangspunkt der Infektion. Bisweilen sollen Patienten ihre Befunde auf solchen Speichermedien mitbringen.

Beide betroffenen Betriebe haben die Kärntner Firma Net-Solutions mit der Entwurmung beauftragt. Net-Solutions ersetzt den bisher genutzten Virenscanner, der den Conficker-Wurm nicht erkannt hat, durch einen erfolgreicheren Scanner. Auf den Einsatz des Microsoft Windows-Tools zum Entfernen bösartiger Software (MRT) wird allerdings verzichtet. Denn diese Software, die verbreitete Schädlinge bekämpfen soll, hat bisweilen zu neuerlichen Sicherheitsalarmen geführt. Genau wie der Conficker-Wurm versucht sie nämlich, auch gemeinsam genutzte Verzeichnisse zu scannen, ohne die Passwörter zu kennen. Die fehlgeschlagenen Login-Versuche tauchen dann im Sicherheitsprotokoll auf.

"Das größte Problem mit Conficker ist, dass er Betriebsunterbrechungen verursacht. Das kostet die betroffenen Betriebe viel Geld", erläuterte Net-Solutions-Geschäftsführer Wolfgang Frei gegenüber heise online, "Der Wurm versucht sich im Netzwerk zu verbreiten und probiert dazu eine Reihe bestimmter Passwörter durch. Nach einigen Fehlversuchen werden die Accounts aufgrund des notwenigen Passwortschutzes automatisch gesperrt. Binnen Minuten können hunderte Mitarbeiter nicht mehr auf ihre Computer zugreifen."

Doch Conficker ist keineswegs ein spezifisch kärntnerisches Problem. So soll es in dem südlichen Bundesland Österreichs auch einen großen Möbelhändler erwischt haben und auch eine Privatbank in Wien soll betroffen sein. Aus Bulgarien wurden Infektionen der Systeme von Innenministeriums, Polizei und Grenzpolizei gemeldet.

Conficker versucht, von einer Liste pseudozufälliger Domains Updates herunterzuladen. Symantec konnte diese Routine auswerten und entsprechende Domains registrieren. Auf dem dahinter aufgesetzten Server wurden innerhalb eines 72-Stunden-Zeitraums Zugriffe von über 600.000 IP-Adressen verzeichnet, wie Symantec am 6. Januar mitteilte. Hinter einer IP-Adresse können auch tausende infizierte Rechner stecken. Die meisten anfragenden Systeme liefen unter Windows XP ohne Servicepack oder mit Servicepack 1, gefolgt von Windows XP mit Servicepack 2 oder 3. Andere Windows-Varianten haben demnach nur einen geringen Anteil.

Die A-Variante von Conficker hatte sich laut Symantec in den zwei Monaten vor dem 9. Januar insbesondere auf dem indischen Subkontinent verbreitet, während die B-Variante speziell in den USA zahlreiche Systeme infiziert hatte. (Daniel AJ Sokolov) / (pmz)