Webseite der österreichischen Distributor von ESET NOD32 Antivirus

Mehr über Conficker…

21.01.2009

"Conficker ist ein typischer Vertreter von Computerwürmern, deren großes Wachstumspotential bis hin zu einer Epidemie führen kann. In der Vergangenheit haben wir solches Verhalten schon mehrfach verzeichnet - zum Beispiel die Bot-Netze um das Jahr 2004 - und die Geschichte wiederholt sich wieder", weiß mein Freund und Leiter des ESET Virenlabors Juraj Malcho. In diesem Zusammenhang muss man auch die Sicherheitslücken in Windows erwähnen, welche die massenhafte Verbreitung solcher Würmer unterstützen. Der nennenswerte Unterschied zu den Würmern der Vergangenheit ist allerdings, dass Conficker durchdachter, komplexer und komplizierter ist, was seine Erkennbarkeit und die Möglichkeit ihn von einem infizierten System zu entfernen, angeht.

Conficker nutzt die Windows Sicherheitslücke namens MS08-067,  welche im Oktober 2008 entdeckt wurde. Nach einem Monat und einigen Versuchen diese Sicherheitslücke auszunutzen wurde die erste Variante des Conficker Wurms gesichtet. "Sofort begann sich der Wurm schnell zu verbreiten, außer mit Hilfe der Sicherheitslücke versuchte es der Wurm auch sich dank schwacher Passwörter im befallenen Netzwerken zu verbreiten", sagt Juraj Malcho. Interessant war auch, dass der Wurm Computer aus der Ukraine gemieden hat, womit die Ukraine als Ursprungsland des Schädlings vermutet wurde. Unter anderem deaktiviert der Wurm die Windows Firewall.

 

 Juraj Malcho: Head of ESET Virus Lab
 

Am ersten Jänner 2009 folgte dann ein großes Update des Schädlings - eine neue Variante kam mit überarbeitetem Code,  welche es ihm ermöglicht sich noch aggressiver und schneller zu verbreiten und das Updaten von Antivirenprogrammen verhindert. Zu dem wurde eine Funktion implementiert, welche es dem Schädling ermöglicht sich über USB-Sticks zu verbreiten. Das ist bei diesem Wurm von großer Bedeutung, da ein USB-Stick bei nicht funktionierender Antivirensoftware oft die einzige Möglichkeit bietet Updates einzuspielen, oder um mit Removal-Tools gegen einen Viren-Befall vorzugehen. Wenn man nur ein bisschen unvorsichtig ist, kann aus dem „säubernden" USB-Stick aber wieder ein „infizierender" werden. ESET stellt unter: http://download.eset.com/special/EConfickerRemover.exe einen Virenentferner für alle Varianten von Conficker zur verfügung.

 


 

Was steckt hinter all dem? Die erste Version ist auf eine Domäne zurückzuführen, welche als Zentrum zur Verbreitung von Spyware und „falschen" Antivirenprogrammen (Fake-AV) bekannt ist. Mit Hilfe des Wurms gelang es den Viren-Autoren jedoch ein riesiges Botnet aufzubauen, welches beliebig missbraucht werden kann, da es ferngesteuert werden kann. Für dessen Steuerung wird ein innovatives Konzept verwendet, jeden Tag wird nämlich eine neue pseudoanonyme Domäne generiert, bei welcher sich der Wurm meldet und Instruktionen fordert. Diese Eigenschaft hat es Antivirenspezialisten ermöglicht die Größe des Bot-Netzes abzuschätzen, welche sich momentan im Bereich von mehreren millionen infizierten PCs bewegt.
 

 
Wie soll man sich nun verhalten? Nun, besonders wichtig ist es aktuelle Antivirensoftware zu verwenden, die über eine ausgereifte Heuristik verfügt, ESET NOD32 Antivirus verfügt über hoch entwickelte proaktive Erkennung (Heuristik) und verbraucht dabei kaum Systemressourcen. Windows muss unbedingt laufen upgedated werden, um auf aktuellem Stand zu sein. Vorsicht mit USB-Sticks: Schädlinge finden immer häufiger mit Hilfe von USB-Sticks den Weg in den Computer! Passen Sie also bitte auf welche USB-Sticks, Sie von wem, an Ihrem Computer anstecken! Wenn Sie diese Punkte beachten und allgemein vorsichtiges Verhalten beim Umgang mit Ihrem PC an den Tag legen, ist das Risiko sich zu infizieren um ein vielfaches geringer.   

 

Programm zum Entfernen von Conficker:

Technische Beschreibung über Conficker:
http://www.eset.eu/encyclopaedia/conficker_anet_worm_kido_t_downadup_conficker_worm