Mehr als zwei Millionen Rechner infiziert

Die Wurm-Familie Conficker/Downadup ist ursprünglich dadurch bekannt geworden, dass sie eine Sicherheitslücke in Windows ausnutzt, die Microsoft im Oktober 2008 mit dem außerplanmäßigen Security Bulletin MS08-067 behandelt hat. Über die Weihnachtsfeiertage und danach haben sich neuere Varianten dieser Schädlinge stark verbreitet, auch über weitere Infektionswege. Der finnische Antivirushersteller F-Secure hat in dieser Woche bereits etwa 2,4 Millionen mit Conficker/Downadup infizierte Rechner gezählt.

Die Malware-Forscher haben den Code des Wurms analysiert und daraufhin einige Domains registriert, mit denen der Schädling Kontakt aufnehmen könnte. Diese Daten und weitere Analysen haben F-Secure zu der Einschätzung geführt, dass weltweit mindestens 2,4 Millionen Rechner mit einer Variante dieses Wurms infiziert sein müssen. Dabei spielt auch eine Rolle, dass viele der IP-Adressen, von denen verdächtige Aktivitäten ausgehen, zu Unternehmensnetzwerken gehören. Das bedeutet, hinter einer IP-Adresse können durchaus mehrere hundert Rechner stecken - oder noch weit mehr.

Im ihrem Blog haben die F-Secure-Forscher die Infektionszahlen nach Ländern aufgeschlüsselt. Hier liegt China mit mehr als 38.000 IP-Adressen an der Spitze, gefolgt von Brasilien (34.000) und Russland (24.000). Deutschland liegt mit knapp 4400 IP-Adressen auf Platz 14, dicht gefolgt von den USA. Zu den weiteren Verbreitungswegen des Schädlings gehören beschreibbare Wechselmedien wie USB-Sticks sowie freigegebene Verzeichnisse.

F-Secure hält eine Liste mit über 1000 Domains bereit, die Administratoren in Unternehmen verwenden können, um in ihren Netzwerken den Zugriff infizierter Rechner auf solche Web-Adressen zu unterbinden. Microsoft hat im Rahmen des Patch Day am 13. Januar auch die neue Version 2.6 seines Anti-Malware-Tools bereit gestellt, die mit "Worm:Win32/Conficker" verseuchte Windows-Rechner entwurmen soll.