Conficker-Wurm rüstet auf
Neue Conficker-Varianten kontaktieren nun mehrere zehntausend Domains täglich und wehren sich gegen Antiviren-Tools.
- Daniel Bachfeld
Der Conficker-Wurm rüstet nach Angaben von Symantec auf – und er erhöht die Schlagzahl. Hat er bislang nur bis zu 250 Domains täglich zum Befehlsempfang und zum Nachladen von neuem Code kontaktiert, soll er nach seinem letzten Update einen Algorithmus verwenden, der 50.000 Domains pro Tag berechnet. Zudem nutzt er nun laut Bericht zusätzlich 116 Domain-Suffixes.
Damit dürfte es für die Antivirenspezialisten, die ICANN und auch etwa OpenDNS schwieriger werden, die vom Wurm aufgerufenen Domains zu blockieren. Zudem stört Conficker damit vermutlich noch mehr legitime Domains als bisher. Zwar bestehen die Domain-Namen aus einer zufälligen Buchstabenkombination und sind daher größtenteils ungenutzt, allerdings werden ältere Conficker-Drohnen beispielsweise die Southwest-Airlines-Website wnsux.com am 13. März mit Anfragen überhäufen.
Darüber hinaus beginnt der aktualisierte Wurm, sich aktiv gegen Antiviren-Software und Sicherheitsanalyse-Tools zur Wehr zu setzen, indem er bestimmte Prozesse auf dem PC terminiert. Dazu gehören unter anderem Prozesse, die die Zeichenketten wireshark, unlocker, tcpview, avenger, autoruns, gmer, procexpl, downad oder confick enthalten. Symantec vermutet, dass die Virenautoren nun weniger auf die Weiterverbeitung des Wurms setzen, sondern alles daransetzen, gekaperte Maschinen so lange wie möglich unter Kontrolle zu halten.
Die Zahl der infizierten PCs variiert je nach Quelle zwischen mehreren hundertausend und mehreren Millionen. Microsoft hatte Mitte Februar eine Belohnung von 250.000 Dollar für Hinweise ausgesetzt, die zur Verhaftung und Bestrafung der Conficker-Verbreiter führen. Bislang scheint dies aber noch nicht von Erfolg gekrönt gewesen zu sein.
Fraglich ist, ob und wann die Botherder den Conficker-Bots eine konkrete Aufgabe zuweisen, etwa den Versand von Spam-Mails, Angriffe auf andere Systeme oder den Aufbau eines Fast-Flux-Netzes. Außer sich weiterzuverbreiten, Kontakt mit Domains aufzunehmen und Admins aus einigen Servern auszusperren, hat der Wurm bislang (glücklicherweise) noch keine Funktionen für gezielte Schäden aufzuweisen. Dennoch hat er aber allein durch die vielen Infektionen beispielsweise bei der Bundeswehr einiges an Schäden angerichtet.
Siehe dazu auch:
- ICANN-Arbeitsgruppe soll Maßnahmen gegen Conficker-Wurm finden, Meldung auf heise Security
- Der Conficker-Wurm wird flexibler, Meldung auf heise Security
- Conficker-Wurm stört legitime Domains im März, Meldung auf heise Security
- Microsoft bietet 250.000 Dollar für Hinweise auf Conficker-Verbreiter, Meldung auf heise Security
(dab)
