155890

Eine Million neu infizierter PCs in 24 Stunden

15.01.2009 | 16:27 Uhr |

Innerhalb eines Tages ist Zahl der von F-Secure geschätzten Infektionen mit dem Conficker-Wurm um mehr als eine Million Rechner gestiegen. Der Wurm breitet sich auch innerhalb von Unternehmensnetzwerken weiter aus.

Malware-Forscher des finnischen Antivirusherstellers F-Secure haben noch am Dienstag eine als "konservativ" bezeichnete Schätzung veröffentlicht, nach der etwa 2,4 Millionen Rechner weltweit mit dem Wurm "Conficker" (oder auch "Downadup") infiziert seien. Einen Tag später beläuft sich die aktualisierte Schätzung bereits auf mehr als 3,5 Millionen PCs. Es müssten demnach also innerhalb eines Tages mehr als eine Million Neuinfektionen hinzu gekommen sein.

Die Schätzungen von F-Secure basieren unter anderem auf der Ermittlung von IP-Adressen, von denen verdächtige Aktivitäten ausgehen, die sich dem Conficker-Wurm zuordnen lassen. Dabei haben die Forscher festgestellt, dass viele der IP-Adressen zu teilweise großen Unternehmensnetzwerken gehören, die aus etlichen hundert oder gar mehreren tausend Rechnern bestehen können. Zusammen mit weiteren, nicht näher bezeichneten Methoden gelangt Toni Koivunen von F-Secure zu dem im Blog des Unternehmens veröffentlichten Zahlen.

Unterdessen hat Microsoft den Kampf gegen Conficker/Downadup aufgenommen. Beim ersten Patch Day in diesem Jahr hat Microsoft sein Anti-Malware-Tool in einer neuen Version bereit gestellt , die neben dem Trojanischen Pferd "Win32/Banload" auch bekannte Varianten des Conficker-Wurms entfernen soll. Dieser schützt seine Dateien mit allerlei Tricks, die ihm laut Cristian Craioveanu und Ziv Mador vom Microsoft Malware Protection Center jedoch nichts nützen sollen.

Der Wurm verbreitet sich über eine von Microsoft in dem außerplanmäßigen Security Bulletin MS08-067 behandelte Sicherheitslücke im Server-Dienst aller Windows-Versionen. Außerdem nutzt er Wechseldatenträger wie USB-Sticks und Netzwerkfreigaben mit schwachen Passwörtern zur Verbreitung, vor allem in lokalen Netzwerken. Er schützt seine Dateien, indem er die Zugriffsrechte darauf für alle Benutzer sperrt. Nur das lokale Systemkonto hat Zugriff. Außerdem werden die Dateien, wenn die Malware aktiv ist, durch einen Sperrmechanismus ("Lock") für geöffnete Dateien vor Löschversuchen geschützt.

Microsofts "Windows-Tool zum Entfernen bösartiger Software" soll trotz dieser Tricks alle Wurmdateien finden und entfernen können. Als Alternative kommen kostenlos erhältliche Boot-CDs mit Virenscanner in Frage, wie zum Beispiel das täglich aktualisierte "Avira AntiVir Rescue System" oder die "F-Secure Rescue-CD".

0 Kommentare zu diesem Artikel
155890