Wurmrätsel
Was macht Conficker am 1. April?
Die neueste Variante des Conficker-Wurms gibt den Malware-Forschern Rätsel auf. Sie haben zwar heraus gefunden, dass sich der Schädling am 1. April aktivieren wird, wissen aber nicht genau, was er dann machen wird.
Der Wurm Conficker (Alias: Downadup, Kido) ist von seinen Programmierern gründlich überarbeitet worden. Die seit ein paar Wochen bekannte dritte Version, oft als "Conficker.C" bezeichnet, enthält zahlreiche, zum Teil grundlegende Änderungen der Funktionalität. Malware-Forscher haben bei der Analyse des Schädlings heraus gefunden, dass er am 1.April aktiv werden soll. Sie rätseln jedoch noch, was dann genau passieren wird.
Zu den wesentlichen Änderungen bei Conficker.C, der auf den meisten infizierten Rechnern die Vorversionen ersetzt hat, gehört die Entfernung einer Verbreitungsroutine. Der Schädling breitet sich also nicht mehr auf weitere Rechner aus. Vielmehr scheinen die Programmierer darauf aus zu sein die bestehende Basis infizierter PCs, das Conficker-Botnet, zu konsolidieren. Der Schädling verteidigt sich aggressiver als seine Vorgänger gegen Entdeckung und Entfernung. Dazu greift er aktiv vorhandene Sicherheitsprogramme wie Virenscanner an und versucht sie auszuschalten.
Die Kommunikation des Schädlings mit dem Mutterschiff sowie anderen infizierten Rechnern ist ebenfalls verändert worden. Die bislang verwendete, recht schlichte HTTP-Kommunikation ist nun einem Update-Check mit kryptografischer Signatur gewichen. Die Kommunikation der infizierter Rechner erfolgt über ein ausgefeiltes P2P-Protokoll, das der Verteilung von ebenfalls kryptografisch signierten Updates dient.
Statt wie Conficker.B 250 pseudo-zufällige Domain-Namen am Tag zu generieren, erzeugt Conficker.C 50.000 Domain-Namen am Tag, von denen er 500 zufällig ausgewählte abfragt, um Updates zu erhalten. Conficker fragt ferner etliche große Websites wie etwa Yahoo ab, um das aktuelle Datum zu erhalten. Am 1. April soll es dann los gehen - nur was da geschehen soll, ist noch unklar.
Versuche in Antiviruslabors, bei denen Forschern dem Schädling das Datum 1. April vorgetäuscht haben, sind bislang wenig aufschlussreich geblieben. Die Täter, die Conficker kontrollieren, haben aus nachvollziehbaren Gründen noch keine vorbereiteten Updates oder Anweisungen online gestellt, die Forscher abfangen könnten. Ebenfalls unklar ist weiterhin, was die Täter mit dem in den letzten Monaten aufgebauten Botnet von schätzungsweise mehr als einer Million infizierter Rechner überhaupt vorhaben. Vermutlich wird auch diese Frage am 1. April beantwortet.
