Foto: Sophos
Forscher der Uni Bonn haben eine Möglichkeit gefunden, mit dem Conficker-Wurm infizierte PCs zu erkennen sowie saubere Systeme zu impfen. Währenddessen warnen Sicherheitsufirmen vor übertriebener Aufregung wegen des Conficker-Stichtags am 1. April.
Das Honeynet-Projekt hat eine neue Analyse aus seiner Reihe "KYE - Know Your Enemy" (kenne deinen Feind) veröffentlicht, die sich mit dem Conficker-Wurm (Alias: Downadup, Kido) beschäftigt. Felix Leder und Tillmann Werner von der Uni Bonn stellen darin neue Erkenntnisse über Conficker vor, die zum Aufspüren des Schädlings und zu einer Art Schutzimpfung genutzt werden können. Unterdessen raten Sicherheitsunternehmen zu Besonnenheit - die Aufregung wegen des Conficker-Stichtags am 1. April sei übertrieben.
Felix Leder und Tillmann Werner stellen in ihrer Analyse "Know Your Enemy: Containing Conficker", die als PDF-Datei herunter geladen werden kann, Methoden vor, wie Conficker sowohl lokal als auch im Netzwerk entdeckt und beseitigt werden kann. Sie nutzen dabei zum Beispiel Unterschiede zwischen der Art und Weise, wie Conficker die Sicherheitslücke MS08-067 nach einer Infektion stopft und der Vorgehenseise des Sicherheits-Updates von Microsoft.
Die Forscher haben eine Reihe von Programmen geschrieben, die Conficker im Arbeitsspeicher eliminieren, seine Dateien und Registry-Einträge erkennen, infizierte PCs im Netzwerk aufspüren und die Ausbreitung des Wurms im Datenverkehr entdecken. Außerdem haben sie eine Art Schutzimpfung gegen Conficker entwickelt. Diese nutzt den Umstand, dass Conficker-Prozesse im Speicher verschiedene Mutexe verwenden. Damit wollen die Malware-Programmierer sicher stellen, dass die nur jeweils neueste Version des Schädlings aktiv ist.
Leder und Werner stellen eine Systembibliothek (DLL) nebst Installationsprogramm bereit, die als Systemdienst läuft und vorgibt ein aktiver Conficker-Wurm zu sein. Diese "Nonficker Vaxination" genannte Schutzimpfung soll das Einnisten des echten Schädlings mit einem Mutex-Verfahren verhindern.
Keine Panik
Die neueste Conficker-Variante, meist als "Conficker.C" bezeichnet (Microsoft nennt sie "Conficker.D"), breitet sich, im Gegensatz zu den Vorgängern, nicht selbsttätig weiter aus. Sie wird nur als Update auf mit Conficker.B infizierten Rechnern installiert. Da eine Koalition aus Sicherheitsunternehmen, Domain-Registraren und der ICANN viele der von Conficker.B genutzten Domains blockiert, haben nur relativ wenige der schätzungsweise mehreren Millionen mit Conficker.B infizierten Computer das Update auf Conficker.C vollziehen können.
Sicherheitsunternehmen sind daher der Ansicht, die Aktivierung von Conficker.C, die am 1. April starten soll, werde kaum zu wahrnehmbaren Effekten führen - schon gar nicht zum Untergang der Welt, wie man nach einigen Presseberichten annehmen könnte. Womöglich vertagen die Hintermänner des Schädlings die Bereitstellung eines Updates oder neuer Instruktionen auch auf ein späteres Datum.
Trotzdem sollten Unternehmen wie private Anwender ihre Rechner auf Conficker-Infektionen überprüfen und diese gegebenenfalls beseitigen. Sie sollten ferner die neuesten Windows-Updates einspielen und ihre Antivirus-Software auf den aktuellen Stand bringen. Hier sind insbesondere Unternehmen und ihre Außendienstmitarbeiter gefordert, deren Notebooks nicht regelmäßig an das Firmennetzwerk angeschlossen werden und daher nicht auf dem aktuellen Sicherheitsstand sind.
Einige Antivirushersteller stellen kostenlose Programme bereit, die Conficker entdecken und entfernen können, zum Beispiel:
Bitdefender: BD Removal Tool
F-Secure: F-Downadup
Kaspersky: Kkiller
McAfee: Conficker Stinger
Microsoft: Tool zum Entfernen bösartiger Software
Symantec: W32.Downadup Removal Tool
Trend Micro: Sysclean-DOWNAD
(PC-Welt) (wl)