Forscher bremsen Conficker-Wurm aus
Er ist immer noch da und er legt offenbar wieder los: Der Windows-Wurm Conficker. Dass der Wurm bei seinen Angriffen wählerisch ist, machen sich Bonner Forscher zunutze, um seine weitere Verbreitung zu stören.
- Daniel Bachfeld
Er ist immer noch da und er legt offenbar wieder los: Der Windows-Wurm Conficker. War es zwischenzeitlich recht still um ihn geworden, ist die Zahl der infizierten Systeme nach der Statistik der Conficker Working Group (CWG) im Juni von etwas über vier Millionen (unique IPs) auf über fünf Millionen gestiegen. Die A-Variante ist allerdings etwas wählerisch: Sie greift keine Windows-Systeme an, die in der Ukraine beheimatet sind.
Um den Standort des anzugreifenden Rechners festzustellen, versucht Conficker sogenannte Geo-IP-Datenbanken abzufragen, die eine ungefähre Zuordnung der IP-Adresse zur Lage ermöglichen. Konkret greift Conficker.A auf die Geo-Datenbank der Firma MaxMind zu, die ihren Server allerdings kurz nach Ausbruch des Wurms auf eine andere Adresse verschob, um weitere Abfragen zu verhindern.
Dass der Wurm aber weiterhin die festcodierte Adresse aufruft, machen sich nun die Bonner Forscher Felix Leder und Tillmann Werner für die Eindämmung zunutze. Dazu haben sie eine Datenbank entwickelt und unter der von MaxMind zur Verfügung gestellte Adresse in Betrieb genommen. Die Datenbank gibt für jede abgefragte Adresse als Standort die Ukraine zurück. In der Folge wird das ausgesuchte System nicht angegriffen und nicht infiziert.
"Aktuell beobachten wir Millionen von Zugriffen pro Tag", berichtet Tillmann Werner. "Wie stark die Anzahl an Infektionen zurückgehen wird, müssen wir abwarten. Auf jeden Fall haben wir einen kleinen Teil dazu beigetragen, die Ausbreitung zu unterbinden." In der Tat stagniert die Zahl der infizierten Systeme seit dem vergangenen Wochenende nicht nur, sondern geht sogar zurück.
Nach Meinung der Forscher sei es nun wichtig, bereits infizierte Systeme zu bereinigen, damit die Infektion nicht wieder aufflackern kann. Dazu haben sie unter der Adresse http://four.cs.uni-bonn.de/conficker einige Hilfsprogramme zusammengestellt. Leder und Werner hatten bereits Anfang des Jahres eine Analyse des Wurms und Tools zum Aufspüren veröffentlicht.
heise Security stellt ebenfalls ein spezielle Infoseite zu Conficker bereit, auf der Anwender wichtige Informationen zum Wurm, wie man ihn aufspürt und wie man ihn wieder los wird, finden. Ein Online-Schnelltest kann dort Aufschluss geben, ob das eigene System befallen ist. (dab)
