Deckt der Conficker-Wurm jetzt seine Karten auf?

Bislang hielt sich der Conficker-Wurm bedeckt, was seine tatsächlichen Ziele sind. Nun allerdings wird auf Rechner, die infiziert sind, das Programm "SpywareProtect2009" geladen, eine sogenannte Scareware.

In Pocket speichern vorlesen Druckansicht 309 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Peter-Michael Ziegler

Es wurde spekuliert, gewartet und durchgeschnauft: Bislang beschränkte sich der äußerst intelligent programmierte Conficker-Wurm vor allem auf Selbstschutzmaßnahmen, etwa indem er unterschiedliche Kommunikationswege öffnet (Conficker.C kann Peer-to-Peer-Netze mit anderen infizierten Systemen aufbauen), um sich mit nachgeladenem Code selbst zu modifizieren, oder indem er sich aktiv gegen Antiviren-Software und Sicherheitsanalyse-Tools zur Wehr setzt. Selbst am 1. April, der Tag, von dem man wusste, dass Conficker.C nach Updates suchen würde, passierte so gut wie nichts. Jetzt aber kommt erstmals Geld ins Spiel: Auf Rechner, die mit dem Conficker-Wurm infiziert sind, wird das Programm "SpywareProtect2009" geladen, eine sogenannte Scareware.

Mit Scareware-Produkten wie "Antivirus 2009", "Malwarecore", "WinDefender", "WinSpywareProtect", "XPDefender" oder aber eben "SpywareProtect2009" verdienen Betrüger viel Geld. Zunächst wird dem Anwender ein kleines Programm untergejubelt, das nervige Pop-up-Informationen über eine angebliche Infektion des PCs anzeigt – solange, bis unbedarfte Anwender weichgekocht sind und Geld für dubiose Antiviren-Produkte zahlen, die meist mit Namen aufwarten, von denen man glaubt, sie schon einmal gehört zu haben. Wer Glück hat, ist sein Geld los, dafür aber aus dem Spiel – wer Pech hat, lädt mit der erworbenen Software nun tatsächlich Schädlinge auf den PC, die ihn dann womöglich in einen Bot verwandeln, um darüber Spam zu versenden. Microsoft etwa säuberte Ende vergangenen Jahres über das Malicious Software Removal Tool (MSRT) in kurzer Zeit fast eine Million Windows-PC von Scareware. Weitere Informationen liefert der heise-Security-Artikel Scharlatane und Hochstapler.

Einer Analyse der Kaspersky Labs zufolge tauschen die infizierten Zombies über die Peer-2-Peer-Strukturen neben dem Conficker-Update auch die Adresse von Servern in der Ukraine aus, von denen sie dann "SpywareProtect2009" herunterladen und installieren. Das entdeckt dann natürlich diverse Bedrohungen, deren Entfernung den Anwender 49,95 US-Dollar kosten soll, die man via Visa oder Mastercard entrichten kann. Die Ukraine spielte übrigens bereits früher eine Rolle: Conficker.A enthielt einen sogenannten "Selbstmordschalter", der immer dann in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.

Außerdem berichtet Felix Leder von der Uni Bonn, der gemeinsam mit seinem Kollegen Tillmann Werner von der Universität Bonn zuletzt durch die Entmystifizierung des Conficker-Wurms von sich reden machte, dass die neue Conficker-Variante weitere Domains blockiert. Unter anderem gehört dazu der Server der Uni Bonn mit dem Conficker-Test. Dieser ist deshalb vorläufig umgezogen.

Siehe dazu auch:

(pmz)