News-Meldung vom 30.03.2009 15:51

Deutsche Forscher entwickeln Netzwerk-Scan für Conficker-Wurm

Felix Leder und Tillmann Werner von der Uni Bonn haben den Conficker-Wurm analysiert und dabei unter anderem herausgefunden, dass er die Art und Weise ändert, wie Windows auf bestimmte Systemaufrufe reagiert. Das lässt sich nutzen, um mit Conficker infizierte Systeme übers Netz aufzuspüren.

Konkret kann ein Scanner übers Netz die Funktion NetpwPathCanonicalize() aufrufen, die die Lücke enthielt, über die sich Conficker verbreitet. Conficker fängt diese Aufrufe ab und behandelt sie selbst. Dabei ändert sich in bestimmten Fällen der Rückgabewert, wenn Conficker seine Hand im Spiel hatte. Für einen solchen Test muss allerdings der TCP-Port 445 des Windows-Systems erreichbar sein, was übers Internet normalerweise nicht der Fall ist (und auch nicht sein sollte).

Der Rückgabewert der Funktion NetpwPathCanonicalize verrät den Wurm.

Leder und Werner haben als Machbarkeitsbeweis einen solchen Scanner geschrieben. Da sie in Zusammenarbeit mit Dan Kaminsky diese Informationen an die Conficker Working Group und andere Sicherheitsexperten weitergereicht haben, sollten demnächst auch Scanner von Dritten diese Funktion anbieten. Insbesondere kündigt Kaminsky passende Erweiterung für nmap, Tenable (Nessus), McAfee/Foundstone, ncircle und Qualys an.

Administratoren in Firmen tun gut daran, ihr Netz noch vor dem 1. April nach möglicherweise infizierten Systemen zu scannen. Ab diesem Datum beginnt Conficker.C Updates aus dem Internet nachzuladen, von denen niemand weiß, was sie bewirken. Eine ganze Reihe von AV-Herstellern bieten spezielle Programme zur Reinigung von Conficker an. Sicherer ist es, auf infizierten Systemen eine Neuinstallation durchzuführen und ein Backup einzuspielen.

Zu dem Projekt siehe auch: