Conficker macht die Runde: Fachleute befürchten, dass beseits über 50 Millionen Rechner infiziert sein könnten. Was der Wurm konkret anstellen wird, steht noch nicht fest: Der eigentliche Schadcode wird über eine Backdoor nachgeladen.

Schon längere Zeit gab es keinen Computer-Virus oder Wurm mehr, der besonders erfolgreich gewesen wäre. Doch nun geistert wieder ein Wurm durch die Netze, der äußerst erfolgreich eine Sicherheitslücke ausnutzt und Millionen von PCs befällt. Fachleute befürchten 50 Millionen infizierte Rechner weltweit.

Müssen nun alle Computerbenutzer befürchten, Opfer des Wurms zu werden? Wer ist betroffen?

Der Wurm nutzt eine Sicherheitslücke in Windows aus, die schon seit Monaten bekannt ist, seit November 2008, um genau zu sein. So lange treibt auch der Wurm bereits sein Unwesen, bislang unbemerkt, aber nun hat ein finnischer Sicherheitsexperte (F-Secure) festgestellt, dass sich der Conficker überraschend schnell ausbreitet.

Panda Software hat errechnet, dass sogar schon sechs Prozent aller PCs befallen sein sollen. Was darauf hindeutet, dass viele Windows-Benutzer ihr System noch nicht aktualisiert und damit gestopft haben. Wie das bei Würmen so ist: Als Benutzer merkt man nicht, dass der eigene PC infiziert ist, zumindest nicht ohne Weiteres, denn der Wurm richtet derzeit keinen Schaden kann, macht nichts Auffälliges. Conficker zielt vor allem auf vernetzte PCs ab, also vor allem auf Rechnern in Firmennetzwerken. Privatrechner können zwar auch betroffen sein, sind aber gar nicht das eigentliche Ziel.

Welcher Schaden wird angerichtet, was macht der Wurm?

Erst mal passiert nichts. Allerdings öffnet Conficker eine so genannte „Backdoor“, eine Hintertür. Das bedeutet: Infizierte PCs können jederzeit ferngesteuert werden, denn sie kommunizieren mit den Urhebern des Wurms – via Internet. Das ist nichts Ungewöhnliches. Ein infizierter Rechner kann jederzeit weiteren Schadcode nachladen, etwa ein Programm zum Ausschnüffeln der eigenen Daten, oder ein Programm, um andere Server zu attackieren oder um Spam zu verschicken.

Alles ist möglich. Wenn Tausende von solchen Computern zu einem Netzwerk zusammengeschlossen werden, wird das „Botnet“ genannt: Damit lässt sich eine Menge Schaden anrichten, weil unzählige Computer weltweit gleichzeitig dasselbe machen könnten.

Wie verbreitet sich der Wurm eigentlich?

Der Wurm nutzt verschiedene Wege, um PCs zu infizieren – das macht die Eindämmung so schwierig. In einer ersten Phase werden Sicherheitslücken in Windows ausgenutzt, um es auf einen PC im Netzwerk zu schaffen. Einmal im Netzwerk, versucht der Wurm, das Administrator-Passwort jedes einzelnen PCs zu knacken, durch Trial-und-Error-Methoden. Mit dem Administrator-Konto kann man in einem Netzwerk eine Menge anstellen. Gelingt es das Passwort zu knacken, ist alles möglich, dann kann sich der Wurm ungehindert im Netzwerk verbreiten. In der dritten Phase verteilt sich der Wurm auch über USB-Sticks, externe Festplatten und freigegebene Ressourcen im Netzwerk. Auch übers Internet.

USB-Sticks sind besonders gefährlich, denn wird ein infizierter Stick auf einen nicht-infizierten Computer gesteckt, sorgt die Autorun-Funktion im Stick/in Windows dafür, dass der Wurm schalten und walten kann – und der Benutzer kann nichts dagegen tun. Hier setzt auch die Kritik vieler Experten an Microsoft an.

Kann man sagen, wer dahinter steckt? Wer hat den Wurm auf den Weg gebracht, und warum?

Computerwürmer haben keine Copyright-Angaben, keine Urhebervermerke. Aber Experten vermuten, dass der Wurm aus Osteuropa kommt, namentlich Russland oder Ukraine. Die Machart, die Handschrift des Wurms deutet auf eine Bande aus Russland/Ukraine hin, die mit Software Unternehmen erpresst. Der Wurm ist ganz ähnlich gestrickt. Außerdem versucht der Wurm, Befehle und Code von russischen Servern zu beziehen. Auffallend auch, dass in der ersten Phase Rechner mit ukrainischem Zeichensatz verschont blieben.

Was tun?

Virenschutz aktualisieren, Windows aktualisieren. Und Online-Scanner benutzen, die den PC untersuchen – und gegebenenfalls den Wurm entfernen, sollte er vorhanden sein.

  1. Nuts
    Nuts sagte:

    Irgendwie entbehrt es nicht jeglicher Ironie, dass nicht die so viel (und irgendwie nicht wirklich berechtigt) gehypten Kasperskys, sondern die findigen Finnen von F-Secure die schnelle Ausbreitung bemerkt haben … ein Schelm, der da Schlechtes denkt … ;o))

Trackbacks & Pingbacks

  1. […] November machte der Computerwurm Conficker Schlagzeilen: Er nutzt geschickt eine Sicherheitslücke in Windows aus, um Rechner zu infizieren, er öffnet […]