147963

Conficker-Wurm hat nun einen bösen Zwilling

20.02.2009 | 12:15 Uhr |

Die Cyber-Kriminellen, die für den Wurm Conficker verantwortlich sind, haben wieder zugeschlagen. Es kursiert eine neue Version des Wurms, die es in sich hat.

Die neue Variante des Conficker-Wurms wird Conficker B++ genannt und wurde kürzlich von Sicherheitsexperten zum ersten Mal gesichtet. Auf dem ersten, flüchtigen Blick scheint die neue Variante identisch mit dem Wurm Conficker B sein. Genauere Analysen haben aber ergeben, dass der neue Wurm neue Techniken nutzt, um (schädliche) Software aus dem Internet herunterzuladen. Das Ziel der Entwickler dürfte sein, mehr Flexibilität darüber zu erhalten, was sie mit den angegriffenen Rechnern machen können.

Ein mit dem Conficker-Wurm infizierter Rechner könnte beispielsweise dazu genutzt werden, um Spam zu versenden. Es kann aber auch für DoS-Attacken missbraucht werden oder er zeichnet alle Tastatureingaben des Anwenders auf und sendet sie an die Wurm-Entwickler.

Zur Abwehr der Angriffe des ursprünglichen Conficker-Wurms hat sich eine kleine Gruppe gebildet, die sich den Namen The Conficker Cabal gegeben hat. Ziel der Gruppe ist es zu verhindern, dass sich die Angriffe des Wurms vermehren. Das ist der Gruppe bisher auch erfolgreich gelungen, indem sie den Algorithmus knacken konnte, den der Wurm nutzt, um zufällige Domain-Namen zu generieren. Über den Besuch dieser Domains, so der Plan der Wurm-Macher, sollt der Wurm sich mit neuem Code versorgen. Die Anti-Conficker-Gruppe registrierte die Domains aber selbst, bevor es die Conficker-Macher taten und unterband so die Kontaktaufnahme des Wurms mit den Domains.

Mit Conficker B++ reagieren die Conficker-Macher nun auf die Erfolge der Anti-Conficker-Gruppe. Der neue Wurm nutzt zwar denselben Algorithmus, um Domain-Namen zu generieren, wo er sich mit neuem Code versorgen kann. Conficker B++ enthält aber zwei neue Techniken, die es der Anti-Conficker-Gruppe unmöglich machen soll, wirklich alle Domains zu registrieren. Der Wurm könnte sich damit wieder erfolgreich mit neuem Code versorgen.

Laut Sicherheitsexperten gab es nur sehr wenige Änderungen zwischen Conficker B und Conficker B++. Der Original-Wurm enthielt 297 Subroutinen. Bei Conficker B++ wurden 39 neue Routinen hinzugefügt und drei vorher existierende Routinen marginal geändert.

Der Wurm Conficker (auch Downadup genannt) macht sich einer kritischen Sicherheitslücke in Windows zunutze, die Microsoft bereits im vergangenen Oktober gepatcht hatte. Seit Dezember soll der Wurm über 10,5 Millionen Rechner weltweit infiziert haben. Microsoft hat kürzlich e in Kopfgeld in Höhe von 250.000 US-Dollar ausgelobt . Wer Informationen liefert, die zur Ergreifung des Conficker-Machers führen, kann sich über das Kopfgeld freuen.

0 Kommentare zu diesem Artikel
147963