152534

Conficker findet Nachahmer

06.04.2009 | 15:53 Uhr |

Ein weiterer Wurm nutzt die von Conficker zum Eindringen in anfällige Rechner ausgenutzte Sicherheitslücke im Windows Serverdienst. Es handelt sich um eine neue Variante eines bereits seit einigen Jahren bekannten Schädlings.

Erfolgreiche Konzepte finden oft Nachahmer, nicht anders ergeht es dem Conficker-Wurm. Microsofts Malware-Forscher berichten über eine neue Variante des Wurms "Neeris", der nun die gleiche Sicherheitslücke in Windows zur Verbreitung nutzt wie Conficker. Während die seit 1. April aktive neueste Conficker-Variante bislang noch auf ein neues Update wartet, breitet sich Neeris auf den von älteren Conficker-Versionen benutzten Wegen aus.

Microsoft hat im Oktober außerhalb der regulären Update-Zyklen das Security Bulletin MS08-067 mit dem Sicherheits-Update 958644 bereit gestellt, um eine als kritisch eingestufte Sicherheitslücke im Serverdienst von Windows zu schließen. Wie Ziv Mador und Aaron Putnam im Blog des Microsoft Malware Protection Center berichten, haben die Programmierer des Neeris-Wurms kräftig bei Conficker (Alias: Downadup, Kido) abgeschrieben.

Die neueste Neeris-Variante ist seit 31. März im Umlauf und nutzt die Windows-Schwachstelle in ähnlicher Weise wie Conficker. Neeris dringt über diese Sicherheitslücke in anfällige Rechner ein und lädt dann eine Kopie von sich per HTTP vom angreifenden Rechner herunter. Neeris breitet sich außerdem, wie Conficker, über den Autorun-Mechanismus von Wechselmedien wie USB-Sticks aus. Dabei verwendet er sogar die gleiche Masche ("Open folder to view files") wie das Vorbild.

Die ersten Neeris-Varianten stammen aus dem Mai 2005. Sie breiten sich vor allem über den MSN-Messenger aus und kommunizieren via IRC (Internet Relay Chat) mit dem Mutterschiff. Spätere Versionen nutzen zusätzlich eine im Security Bulletin MS06-040 behandelte Sicherheitslücke, die der aus MS08-067 recht ähnlich ist. Auch SQL-Server mit schwachen Passwörtern werden gerne genommen. Der Wurm benutzt Dateinamen existierender Windows-Programme und -Dienste.

Die Bezeichnungen anderer Antivirushersteller für Neeris variieren von "AutoRun" (AntiVir, Nod32, Kaspersky) über "IRCBot" (CA, McAfee) bis "Spybot" (Symantec) und ordnen den Wurm damit in generische Großfamilien bekannter Schädlinge ein.

0 Kommentare zu diesem Artikel
152534