23.02.2009 16:00
Der Conficker-Wurm wird flexibler
Die Autoren des Windows-Wurms Conficker entwickeln ihr Machwerk offenbar stetig weiter. Forscher des SRI International haben bei ihren Analysen festgestellt, dass die aktuellen Varianten Conficker B und B++ deutlich flexibler sind, was das Nachladen von Erweiterungen und neuen Versionen angeht.
Die erste Version des Wurms kontaktierte dazu Webseiten, deren Domain er nach einem leicht vorhersagbaren Verfahren ausgewürfelt hat. Microsoft und ICANN versuchten daraufhin, diese Domains unter ihre Kontrolle zu bringen beziehungsweise zu sperren. Die nachfolgende Version B verwendete ein anderes Verfahren, die Domains für seine Kontaktversuche zu ermitteln. Außerdem verzichtet sie auf den sogenannten "Selbstmordschalter", der bei Version A in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.
Das neueste Machwerk schließlich, Conficker B++, kann nicht nur DLLs nachladen, sondern beliebige, komplette Programme; es erweitert damit den Spielraum für weitere Aktivitäten der Botnetz-Betreiber. Und außer der Nachladefunktion enthält diese Version auch noch eine Hintertür, über die man von außen aktiv Zusatzmodule oder neue Versionen einschleusen kann.
Die Forscher haben mittlerweile rund 10 Millionen IP-Adressen mit Conficker-Aktivitäten gezählt; davon über 6 Millionen mit Conficker B. Dies spiegelt jedoch nicht die Zahl der infizierten Systeme wieder. Diese dürfte nach Schätzungen von SRI International um rund eine Großenordnung niedriger, also eher im Bereich einer bis weniger Millionen Systeme liegen. Interessant ist auch die länderspezifische Auswertung: Dort führt China mit rund 2,7 Millionen IPs, und Deutschland liegt mit 195,923 infizierten Adressen noch knapp vor den USA.
Siehe dazu auch:
- ICANN-Arbeitsgruppe soll Maßnahmen gegen Conficker-Wurm finden
- Hunderte Bundeswehr-Rechner von Conficker befallen
- Microsoft bietet 250.000 Dollar für Hinweise auf Conficker-Verbreiter
- Microsoft: Kunden spielen "Russisches Roulette" mit ihren Systemen
- Windows-Wurm nimmt an Fahrt auf
- Microsoft patcht kritische Lücke im RPC-Dienst
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
