Conficker

Conficker (auch bekannt unter den Namen Downup, Downadup oder Kido) ist ein Computerwurm, der ab Oktober 2008 auftauchte. Er nistet sich auf Computern ein, auf denen das Betriebssystem Microsoft Windows installiert ist und betrifft hauptsächlich die Version Windows XP. Aber auch andere Versionen des Betriebssystems sind betroffen.

Der Name leitet sich her von configure (konfigurieren) und dem vulgären deutschen Wort „ficken“.^[1]

Verbreitungsmethoden

Ursprünglich hat sich Conficker über die von Microsoft im Bulletin MS08-067^[2] beschriebene Sicherheitslücke weiterverbreitet. Es handelt sich dabei um eine sogenannte „Remote code execution vulnerability“ (Sicherheitslücke, durch die von außen eingeschleuster Code ausgeführt werden kann). Damit werden Sicherheitslücken beschrieben, bei denen ein Angreifer durch eine manipulierte Netzwerkmeldung einen Rechner dazu bringen kann, schädlichen Code auszuführen, ohne dass dazu die eigentlich erforderliche Zugriffskontrolle stattfindet.

Darüber hinaus verwendet Conficker allerdings auch Mechanismen, die nicht auf Sicherheitslücken basieren. So werden innerhalb von Netzwerken gezielt Freigaben auf Datei- und Druckdienste gesucht und benutzt, die von anderen Rechnern aus gelesen werden können.

Auch Wechseldatenträger wie USB-Sticks und externe Festplatten werden zur Weiterverbreitung genutzt, indem gezielt die Autorun-Funktion missbraucht wird.

Auswirkungen

Um seine eigene Entfernung möglichst zu verhindern, blockiert Conficker die Benutzung von Windows-Diensten wie den Windows Update, das Windows-Sicherheitscenter, Windows Defender und das Windows-Systemprotokoll.

Durch erfolglose Versuche, sich an passwortgeschützten Dateifreigaben anzumelden, kann es dazu kommen, dass ganze Rechner nicht mehr benutzt werden können, da unter Umständen das entsprechende Benutzerkonto komplett gesperrt wird.

Bisher sind keine weiteren schädlichen Aktionen des Wurms bekannt. Allerdings ist Conficker in der Lage, sich mit Servern in Verbindung zu setzen, von denen das Programm schädliche Programmteile nachladen könnte.

Am 19. Januar 2009 berichtet das Softwaresicherheitsunternehmen F-Secure von über neun Millionen betroffenen Rechnern.^[3]
Am 22. Januar 2009 berichtet Web.de, dass rund sieben Prozent aller deutschen PCs vom Conficker-Wurm befallen seien.^[4]
Kurze Zeit später berichtet spiegel.de am 23. Januar 2009 von womöglich 50 Millionen verseuchten Rechnern.^[5] Das sind weit mehr als vorerst angenommen.

Neueren Untersuchungen zufolge ist die Anzahl der infizierten PCs und die Meldungen über die rasante Verbreitung viel höher eingeschätzt als bislang angenommen. Die Zeitschrift Computer Bild hat Experten befragt und diese kamen zu einer völlig anderen Einschätzung. Der Medienhype, der durch die Virenscanner-Industrie ausgelöst wurde, sei höher als die tatsächliche Gefahr.^[6]

Am 23. Januar 2009 schätzt das Sicherheitsunternehmen F-Secure die Anzahl der infizierten IP-Adressen auf weltweit eine Million. Die Verbreitung des Wurmes scheint eingedämmt, seine Desinfektion bleibt eine Herausforderung, ließ die Firma auf ihrem Blog verlauten. Nur ein Prozent der infizierten IP-Adressen stehen in den USA, während China, Brasilien und Russland zusammen 41 Prozent der Infektionsmeldungen liefern. Mit knapp 16.000 infizierten IP-Adressen befindet sich Deutschland auf dem 16. Platz des internationalen Rankings.^[7]

Am 13. Februar 2009 wurde bekannt, dass bei der Bundeswehr mehrere hundert Rechner von dem Virus befallen seien.^[8]

Beseitigung

Zur Beseitigung von Conficker können die Removal-Tools von Microsoft^[9], Symantec^[10] und F-Secure^[11] verwendet werden.

Einzelnachweise

↑ Richard Grigonis: Microsoft's $5,000,000 Reward for the Conficker Worm Creators. In: TMCnet.com, 13. Februar 2009
↑ Microsoft Security Bulletin MS08-067 – Critical. Microsoft.com, 23. Oktober 2008; abgerufen im 1. Januar 1.
↑ Heise-Online, 19. Januar 2009: http://www.heise.de/security/F-Secure-Jetzt-neun-Millionen-Windows-PCs-mit-Conficker-Wurm-befallen--/news/meldung/121945
↑ web.de:7 Prozent der deutschen PCs mit Conficker infiziert
↑ spiegel.de/netzwelt
↑ Die Panik um Conficker-Internet-Wurm ist reine Panikmache
↑ http://www.f-secure.com/weblog/archives/00001589.html
↑ http://www.spiegel.de/netzwelt/web/0,1518,607567,00.html
↑ Download des Removal Tools von Microsoft. Sendet anonymisierte Daten über Virenfunde an Microsoft
↑ http://www.chip.de/downloads/Symantec-Removal-Tool-fuer-W32.Downadup_34632501.html
↑ http://www.f-secure.com/weblog/archives/00001588.html

[1] Richard Grigonis: Microsoft's $5,000,000 Reward for the Conficker Worm Creators. In: TMCnet.com, 13. Februar 2009

[2] Microsoft Security Bulletin MS08-067 – Critical. Microsoft.com, 23. Oktober 2008; abgerufen im 1. Januar 1.

[3] Heise-Online, 19. Januar 2009: http://www.heise.de/security/F-Secure-Jetzt-neun-Millionen-Windows-PCs-mit-Conficker-Wurm-befallen--/news/meldung/121945

[4] web.de:7 Prozent der deutschen PCs mit Conficker infiziert

[5] spiegel.de/netzwelt

[6] Die Panik um Conficker-Internet-Wurm ist reine Panikmache

[7] ttp://www.f-secure.com/weblog/archives/00001589.html

[8] ttp://www.spiegel.de/netzwelt/web/0,1518,607567,00.html

[9] Download des Removal Tools von Microsoft. Sendet anonymisierte Daten über Virenfunde an Microsoft

[10] ttp://www.chip.de/downloads/Symantec-Removal-Tool-fuer-W32.Downadup_34632501.html

[11] ttp://www.f-secure.com/weblog/archives/00001588.html

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]