153238

Neue Conficker-Variante aufgetaucht

09.04.2009 | 15:27 Uhr |

Eine Woche nach dem von vielen erwarteten Stichtag ist eine neue Variante des Schädlings Conficker entdeckt worden. Sie blockiert noch mehr Websites und kann sich auch wieder über die Windows-Lücke MS08-067 verbreiten.

Der vielfach herbei geredete Weltuntergang am 1. April ist ausgeblieben - Conficker hat sich zwar aktiviert, jedoch keine nennenswerten Effekte verursacht. Erst eine Woche später haben Malware-Forscher von Trend Micro eine neue Conficker-Variante entdeckt. Sie ist über den mit der Vorgängerversion eingeführten P2P-Update-Mechanismus verteilt worden und enthält ein Verfalldatum. Im Gegensatz zur Vorversion kann sich die neue Variante auch wieder über die Sicherheitslücke MS08-067 aktiv ausbreiten.

Antivirushersteller betreiben in ihren Malware-Labors Testrechner, die mit Schädlingen infiziert sind, um sie zu studieren. So steht wohl bei vielen auch mindestens je ein PC, auf dem die bislang bekannten Varianten von Conficker (Alias: Downadup, Kido) installiert ist. Die Rechner werden genau überwacht, um verdächtige Aktivitäten nicht zu verpassen.

So ist bei Trend Micro und anderen am 8. April auf mit Conficker.C infizierten Rechnern eine neue Binärdatei im TEMP-Verzeichnis aufgefallen. Analysen des aufgezeichneten Netzwerkverkehrs zeigen, dass diese Datei nicht über eine HTTP-Verbindung von einem Web-Server geladen worden ist. Sie ist vielmehr über die P2P-Routinen (Peer-to-Peer) herein gekommen, die Conficker.C zum Austausch von Updates unter infizierten Rechnern eingeführt hat.

Wie Ivan Macalintal im TrendLabs Malware Blog berichtet ist die Datei als neue Variante von Conficker identifiziert worden, Trend Micro nennt den Schädling "WORM_DOWNAD.E". Der Namensteil "WORM" weist bereits darauf hin: die Programmierer haben wieder eine Verbreitungsroutine eingebaut. Die hat Conficker.C nicht, wohl aber dessen Vorgänger Conficker.A und Conficker.B. Während sich die B-Variante auch über den Autorun-Mechanismus von Wechselmedien verbreitet, lassen die Programmierer die neue E-Variante ausschließlich über die Windows-Sicherheitslücke MS08-067 nach neuen Opfern suchen.

Wenn sich der neue Conficker-Wurm auf dem Rechner einnistet, löscht er anschließend alle Spuren hinter sich. Zwischenzeitlich angelegte Dateien und Registry-Einträge werden entfernt, verbleibende Dateien und ein aktiver Systemdienst tragen zufällige Dateinamen. Der Schädling öffnet einen TCP-Port (5114) nach außen und fungiert darüber als Web-Server. Greift er einen neuen Rechner über die Windows-Schwachstelle erfolgreich an, lädt dieser eine Kopie des Wurms per HTTP vom angreifenden Rechner.

Die neue Wurm-Variante Conficker.E enthält, wie Conficker.C, einen Stichtag - in diesem Fall offenbar mehr ein Verfalldatum. Der Schädling soll sich nach ersten Untersuchungen am 3. Mai 2009 deaktivieren. Bis dahin müssten die Conficker-Programmierer also ein weiteres Update verteilen. Außerdem blockiert Conficker.E noch mehr Domains als seine Vorläufer, darunter auch die meisten der Websites, auf denen es Spezial-Tools zur Entfernung von Conficker gibt. Bitdefender hat bereits reagiert und bietet sein Anti-Conficker-Programm nun auch unter www.disinfecttools.com an, da der Zugriff auf die bislang genutzte Website bdtools.net von Conficker.E blockiert wird.

Bei der Analyse der Testrechner ist den Malware-Forschern eine weitere Binärdatei aufgefallen, die kurz nach der ersten Datei auf dem Rechner gelandet ist. Sie stammt von einer Website, die bekanntermaßen eine immer noch laufende Kampagne des Waledac-Wurms befeuert. Die Datei ist eine neue Waledac-Variante. Das inspiriert zu Spekulationen über eine mögliche Verbindung zwischen Waledac und Conficker.

Genauere Analysen müssen jedoch erst noch zeigen, ob hier der Zufall seine Finger im Spiel hatte oder es tatsächlich eine solche Verbindung zur Storm-Gang gibt. Denkbar ist aber auch, dass es sich um ein bewusst inszeniertes Ablenkungsmanöver der Conficker-Programmierer handelt. Einstweilen läuft jedoch erstmal die Verbreitung von Conficker.E über den durch Verschlüsselung geschützten P2P-Mechanismus.

0 Kommentare zu diesem Artikel
153238