Conficker

Conficker (auch bekannt unter Downup, Downadup, kido und Worm.Win32/Conficker) ist ein Computerwurm, der erstmals im Oktober 2008 registriert wurde.^[1] Der Wurm soll auch als Dumprep bekannt sein. Im Zusammenhang mit Dumprep existiert das Problem, dass Dumprep auch ein reguläres Microsoft-Tool ist, reguläre Dateigröße 11 kB. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows XP betroffen ist; jedoch sind auch andere Versionen gefährdet.

Verbreitungsmethoden

Ursprünglich hat sich Conficker über die von Microsoft im Bulletin MS08-067^[2] beschriebene Sicherheitslücke weiterverbreitet. Es handelt sich dabei um eine sogenannte „Remote code execution vulnerability“ (Sicherheitslücke, durch die ein von außen eingeschleuster Code ausgeführt werden kann). Damit werden Sicherheitslücken beschrieben, bei denen ein Angreifer durch eine manipulierte Netzwerkmeldung einen Rechner dazu bringen kann, den schädlichen Code auszuführen, ohne dass dazu die eigentlich erforderliche Zugriffskontrolle stattfindet.

Darüber hinaus verwendet Conficker allerdings auch Mechanismen, die nicht auf Sicherheitslücken basieren. So werden innerhalb von Netzwerken Freigaben auf Datei- und Druckdiensten gesucht und benutzt, die von anderen Rechnern ausgelesen werden können.

Auch Wechseldatenträger wie USB-Sticks und externe Festplatten werden zur Weiterverbreitung genutzt, indem die Autorun-Funktion missbraucht wird.

Neuere Varianten öffnen darüber hinaus auch eine P2P-Verbindung zu anderen infizierten Rechnern und laden so neue Programmteile nach.^[3]

Auswirkungen

Um seine eigene Entfernung möglichst zu verhindern, blockiert Conficker die Benutzung von Windows-Diensten wie Windows Update, den Aufruf sämtlicher Herstellerseiten von Antiviren- und sonstigen Sicherheitsprogrammen, das Windows-Sicherheitscenter, Windows Defender und das Windows-Systemprotokoll. Durch erfolglose Versuche, sich an passwortgeschützten Dateifreigaben anzumelden, kann es dazu kommen, dass ganze Rechner nicht mehr benutzt werden können, da unter Umständen das entsprechende Benutzerkonto komplett gesperrt wird. Bisher sind keine weiteren schädlichen Aktionen des Wurms bekannt. Allerdings ist Conficker in der Lage, sich mit Servern in Verbindung zu setzen, von denen das Programm schädliche Programmteile nachladen könnte.

Anfang Januar 2009 legte der Wurm ca. 3000 Arbeitsplatzrechner der Kärntner Landesregierung lahm und sorgte dafür, dass Ämter der Kärntner Regierung tagelang offline waren. Zentrale Server der Landesregierung waren nicht betroffen und Amtsgeschäfte konnten somit eingeschränkt fortgeführt werden.

Am 19. Januar 2009 berichtete das Softwaresicherheitsunternehmen F-Secure von über neun Millionen betroffenen Rechnern.^[4] Am 22. Januar 2009 berichtete NetMediaEurope (testticker.de), dass rund sieben Prozent aller deutschen PCs vom Conficker-Wurm befallen seien.^[5] Kurze Zeit später berichtete spiegel.de am 23. Januar 2009 von womöglich 50 Millionen verseuchten Rechnern.^[6] Das seien weit mehr als zuvor angenommen.

Am 23. Januar 2009 schätzte F-Secure die Anzahl der IP-Adressen der infizierten Computer auf weltweit eine Million. Die Verbreitung des Wurmes scheint eingedämmt, seine Desinfektion bleibt eine Herausforderung, ließ die Firma auf ihrem Blog verlauten. Nur ein Prozent der infizierten Computer befinden sich in den USA, während China, Brasilien und Russland zusammen 41 Prozent der Infektionsmeldungen liefern. Mit knapp 16.000 IP-Adressen der infizierten Computer befand sich Deutschland auf dem 16. Platz der internationalen Rangordnung.^[7]

Am 5. Februar 2009 berichtete F-Secure von einem Anstieg der IP-Adressen auf 1,9 Millionen, aber es wird darauf hingewiesen, dass dies nicht zwingend einen Anstieg der Infektionen beweist, da die Sicherheitsfirma mehr Domains überwacht als früher.^[8] Am 27. Februar ist die Anzahl der IP-Adressen, die von ihr aufgezeichnet werden, auf 2,1 bis 2,5 Millionen gestiegen. Allerdings haben sich laut F-Secure-Blog nun mehrere Unternehmen und Organisationen zusammengetan, um gegen den Wurm vorzugehen. So setzte Microsoft am 12. Februar (wie bereits bei Mydoom) einen Betrag von 250.000 US-Dollar für Informationen aus, die zur Identifikation des Conficker-Entwicklers führen.^[9]

Am 13. Februar 2009 wurde bekannt, dass bei der Bundeswehr mehrere hundert Rechner von dem Wurm befallen seien.^[10] Auch die französische Luftwaffe war davon betroffen. Dort blieben zwei Tage lang die Rechner ausgeschaltet.^[11]

In dem am 17. März 2009 veröffentlichten Sicherheits-Newsletter berichtet Microsoft über die neue Variante Conficker.D (Microsoft) bzw. W32.Downadup.C (Symantec). Bisherige Varianten erzeugen täglich 250 neue Domainnamen, auf denen sie nach Updates suchen. Der Update-Mechanismus konnte erfolgreich blockiert werden, indem die Registrierung dieser Domains verhindert wurde. Die neue Variante des Wurms erzeugt dagegen ab dem 1. April täglich 50.000 neue Domainnamen, von denen 500 zufällig ausgewählt werden. Eine vorherige Registrierung so vieler Domains täglich ist nicht möglich. Die neue Variante soll außerdem System-Tools und Antiviren-Programme ausschalten können.^[12][13][14]

Am 7. April 2009 bemerkte das Sicherheitsunternehmen Trend Micro eine erhöhte P2P-Aktivität von Conficker.C, womit der Wurm sich selbst in die Conficker.E-Variante wandelt. Damit versucht er nun verstärkt, seine Spuren zu verwischen. So werden nun auch Seiten blockiert, die Programme anbieten, um den Wurm zu entfernen. Außerdem tritt er nun unter einem zufälligen Dateinamen auf und löscht alle seine Spuren auf dem Wirts-PC. Diese Variante scheint sich aber zum 3. Mai 2009 selbst zu deaktivieren.^[15] Am 9. April wurde bekannt, dass Conficker.C SpywareProtect2009 installiert, eine Scareware, die dem Anwender eine Infektion vorspielt und gegen eine Geldzahlung scheinbar entfernt. Der Download geschieht von einem Server aus der Ukraine aus.^[16][17]

Im September 2010 entsorgte das Bildungsministerium von Mecklenburg-Vorpommern mit Sitz in Schwerin 170 teils nagelneue Rechner des Lehrerfortbildungsinstituts IQMV in den Standorten Schwerin, Rostock und Greifswald, die von Conficker befallen waren. ^[18]

Anfang 2016 wurde Conficker in einem Rechner von Block B des Kernkraftwerks Gundremmingen entdeckt.^[19]

Verbindung zu Waledac

Neuere Beobachtungen zeigten, dass Conficker unter anderem Verbindung zu Domains aufnahm, die bereits mit dem Waledac-Wurm infiziert sind, und diesen herunterlud. Waledac steht unter dem Verdacht, eine Verbindung zum Storm Botnetz zu haben.^[20]

Beseitigung

Zur Beseitigung von Conficker können Werkzeuge verwendet werden, wie sie bereitgestellt werden von der Universität Bonn,^[21] von Microsoft^[22], Symantec^[23], F-Secure^[24], Bitdefender^[25] und Kaspersky ^[26].

Das Tool Panda USB Vaccine^[27] kann auf FAT-formatierten Datenträgern eine autorun.inf erstellen, die sich weder lesen, bearbeiten noch löschen lässt und somit wirkungsvoll verhindern, dass Conficker diese erstellen kann. Die aktuelle Version unterstützt experimentell auch NTFS-formatierte Datenträger.

Siehe auch

• Man-in-the-Middle-Angriff

Literatur

• Mark Bowden: Worm, Der erste digitale Weltkrieg, ISBN 978-38270-1065-0

Weblinks

• John Markoff: Defying Experts, Rogue Computer Code Still Lurks. New York Times, 26. August 2009, abgerufen am 9. Oktober 2015 (englisch). 

• Felix Leder, Tillmann Werner: Conficker Entschärfen: Informationen und Werkzeuge. Universität Bonn, 21. Januar 2011, abgerufen am 9. Oktober 2015. 

• Phillip Porras, Hassen Saïdi, Vinod Yegneswaran: A Foray into Conficker's Logic and Rendezvous Points. Computer Science Laboratory, SRI International, 30. März 2009, abgerufen am 9. Oktober 2015. 

• Jürgen Schmidt: Die heise Security Infoseite zu Conficker. Heise online, 3. April 2009, abgerufen am 9. Oktober 2015. 

• Threat Description - Worm: W32/Downadup.AL. F-Secure, 29. September 2010, abgerufen am 9. Oktober 2015. 

• Conficker Working Group. Abgerufen am 9. Oktober 2015 (englisch). 

Einzelnachweise

1. ↑ Conficker-Wurm: Unterstützung beim Schutz von Windows vor Conficker. Microsoft, 6. Februar 2009, abgerufen am 9. Oktober 2015. 
2. ↑ Microsoft Security Bulletin MS08-067 - Kritisch. Microsoft, 23. Oktober 2008, abgerufen am 9. Oktober 2015. 
3. ↑ New Downad/Conficker variant spreading over P2P. Trend Micro, 8. April 2009, abgerufen am 9. Oktober 2015. 
4. ↑ Daniel Bachfeld: F-Secure: Jetzt neun Millionen Windows-PCs mit Conficker-Wurm befallen. Heise Newsticker, 19. Januar 2009, abgerufen am 9. Oktober 2015. 
5. ↑ Britta Widmann: Deutschland: Sieben Prozent aller PCs mit Conficker infiziert. ZDNet, 22. Januar 2009, abgerufen am 9. Oktober 2015. 
6. ↑ Frank Patalong: Conficker/Downadup: Fachleute befürchten 50 Millionen verseuchte Rechner. Spiegel Online, 23. Januar 2009, abgerufen am 9. Oktober 2015. 
7. ↑ Sean: Where is Downadup? F-Secure, 23. Januar 2009, abgerufen am 9. Oktober 2015. 
8. ↑ Response: Downadup Sinkhole Numbers. F-Secure, 5. Februar 2009, abgerufen am 9. Oktober 2015. 
9. ↑ Response: Downadup, Good News / Bad News. F-Secure, 27. Februar 2009, abgerufen am 9. Oktober 2015. 
10. ↑ Conficker-Wurm: Bundeswehr kämpft gegen Viren-Befall. Spiegel Online, 13. Februar 2009, abgerufen am 9. Oktober 2015. 
11. ↑ Briefchen für Piloten. ORF.at, 9. Februar 2009, abgerufen am 9. Oktober 2015. 
12. ↑ Conficker-Wurm rüstet massiv auf. Microsoft Newsletter, 17. März 2009, archiviert vom Original am 12. Dezember 2010; abgerufen am 9. Oktober 2015. 
13. ↑ Jürgen Schmidt: Conficker-Wurm lädt nach - vielleicht. Heise Online, 30. März 2009, abgerufen am 9. Oktober 2015. 
14. ↑ AntiVir erkennt Conficker nicht. 1. Juni 2009, abgerufen am 9. Oktober 2015. 
15. ↑ Ivan Macalintal: DOWNAD/Conficker Watch: New Variant in The Mix? Trend Micro, 8. April 2009, abgerufen am 9. Oktober 2015. 
16. ↑ Peter-Michael Ziegler: Deckt der Conficker-Wurm jetzt seine Karten auf? Heise Online, 12. April 2009, abgerufen am 9. Oktober 2015. 
17. ↑ Alexander Gostev: The neverending story. Kaspersky Lab, 9. April 2009, abgerufen am 9. Oktober 2015. 
18. ↑ 170 neue Computer wegen Virus weggeworfen. Ostsee-Zeitung, 29. April 2013, abgerufen am 9. Oktober 2015. 
19. ↑ AKW Gundremmingen: Infektion mit Uralt-Schadsoftware, 26. April 2016
20. ↑ Loucif Kharouni: Waledac - Nachfolger für Storm gefunden. Trend Micro, archiviert vom Original am 19. April 2009; abgerufen am 9. Oktober 2015. 
21. ↑ Felix Leder, Tillmann Werner: Conficker Entschärfen: Informationen und Werkzeuge. Universität Bonn, 21. Januar 2011, abgerufen am 9. Oktober 2015. 
22. ↑ Malicious Software Removal Tool: Download. Microsoft, 8. September 2015, abgerufen am 9. Oktober 2015. 
23. ↑ W32.Downadup Removal Tool. Symantec, 13. Januar 2009, abgerufen am 9. Oktober 2015. 
24. ↑ Response: ISTP and F-Downadup Removal Tool. 20. Januar 2009, abgerufen am 9. Oktober 2015. 
25. ↑ Free Virus Removal Tools. Bitdefender, abgerufen am 9. Oktober 2015. 
26. ↑ Wie wird der Wurm Net-Worm.Win32.Kido bekämpft (andere Benennungen: Conficker, Downadup). Kaspersky Lab, 8. Oktober 2010, archiviert vom Original am 2. Juli 2013; abgerufen am 9. Oktober 2015. 
27. ↑ Panda USB Vaccine - Antimalware and Vaccine for USB devices. Panda Security, abgerufen am 9. Oktober 2015.