Conficker-Wurm rĂŒstet auf
Neue Conficker-Varianten kontaktieren nun mehrere zehntausend Domains tÀglich und wehren sich gegen Antiviren-Tools.
Der Conficker-Wurm rĂŒstet nach Angaben von Symantec [1] auf â und er erhöht die Schlagzahl. Hat er bislang nur bis zu 250 Domains tĂ€glich zum Befehlsempfang und zum Nachladen von neuem Code kontaktiert, soll er nach seinem letzten Update einen Algorithmus verwenden, der 50.000 Domains pro Tag berechnet. Zudem nutzt er nun laut Bericht zusĂ€tzlich 116 Domain-Suffixes.
Damit dĂŒrfte es fĂŒr die Antivirenspezialisten, die ICANN und auch etwa OpenDNS schwieriger werden, die vom Wurm aufgerufenen Domains zu blockieren. Zudem stört Conficker damit vermutlich noch mehr legitime Domains als bisher. Zwar bestehen die Domain-Namen aus einer zufĂ€lligen Buchstabenkombination und sind daher gröĂtenteils ungenutzt, allerdings werden Ă€ltere Conficker-Drohnen beispielsweise die Southwest-Airlines-Website wnsux.com am 13. MĂ€rz mit Anfragen ĂŒberhĂ€ufen.
DarĂŒber hinaus beginnt der aktualisierte Wurm, sich aktiv gegen Antiviren-Software und Sicherheitsanalyse-Tools zur Wehr zu setzen, indem er bestimmte Prozesse auf dem PC terminiert. Dazu gehören unter anderem Prozesse, die die Zeichenketten wireshark, unlocker, tcpview, avenger, autoruns, gmer, procexpl, downad oder confick enthalten. Symantec vermutet, dass die Virenautoren nun weniger auf die Weiterverbeitung des Wurms setzen, sondern alles daransetzen, gekaperte Maschinen so lange wie möglich unter Kontrolle zu halten.
Die Zahl der infizierten PCs variiert je nach Quelle zwischen mehreren hundertausend und mehreren Millionen. Microsoft hatte Mitte Februar eine Belohnung von 250.000 Dollar fĂŒr Hinweise ausgesetzt, die zur Verhaftung und Bestrafung der Conficker-Verbreiter fĂŒhren. Bislang scheint dies aber noch nicht von Erfolg gekrönt gewesen zu sein.
Fraglich ist, ob und wann die Botherder den Conficker-Bots eine konkrete Aufgabe zuweisen, etwa den Versand von Spam-Mails, Angriffe auf andere Systeme oder den Aufbau eines Fast-Flux-Netzes [2]. AuĂer sich weiterzuverbreiten, Kontakt mit Domains aufzunehmen und Admins aus einigen Servern auszusperren, hat der Wurm bislang (glĂŒcklicherweise) noch keine Funktionen fĂŒr gezielte SchĂ€den aufzuweisen. Dennoch hat er aber allein durch die vielen Infektionen beispielsweise bei der Bundeswehr einiges an SchĂ€den angerichtet.
Siehe dazu auch:
- ICANN-Arbeitsgruppe soll MaĂnahmen gegen Conficker-Wurm finden [3], Meldung auf heise Security
- Der Conficker-Wurm wird flexibler [4], Meldung auf heise Security
- Conficker-Wurm stört legitime Domains im MÀrz [5], Meldung auf heise Security
- Microsoft bietet 250.000 Dollar fĂŒr Hinweise auf Conficker-Verbreiter [6], Meldung auf heise Security
(dab [7])
URL dieses Artikels:
https://www.heise.de/-205082
Links in diesem Artikel:
[1] https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/249
[2] http://www.heise.de/security/Hydra-der-Moderne-Die-neuen-Tricks-der-Spammer-und-Phisher--/artikel/94211
[3] https://www.heise.de/news/ICANN-Arbeitsgruppe-soll-Massnahmen-gegen-Conficker-Wurm-finden-196463.html
[4] https://www.heise.de/news/Der-Conficker-Wurm-wird-flexibler-199611.html
[5] https://www.heise.de/news/Conficker-Wurm-stoert-legitime-Domains-im-Maerz-202133.html
[6] https://www.heise.de/news/Microsoft-bietet-250-000-Dollar-fuer-Hinweise-auf-Conficker-Verbreiter-195334.html
[7] mailto:dab@ct.de
Copyright © 2009 Heise Medien