F-Secure: Jetzt neun Millionen Windows-PCs mit Conficker-Wurm befallen

Nach Angaben von F-Secure sollen mittlerweile neun Millionen Windows-PCs mit dem Conficker-Wurm infiziert sein. Da die bislang gemeldeten hohen Zahlen von vielen angezweifelt wurden, hat F-Secure die Methode der Zählung in seinem Blog veröffentlicht. Demnach hat der Antivirenhersteller mehrere der 250 täglich vom Wurm kontaktierten Domains registriert und protokolliert die Verbindungen mit. Dabei zählt F-Secure alle eindeutigen IPs mit.

Zudem soll der Wurm bei seinen Aufrufen der Domains die Zahl der von ihm bislang erfolgreich infizierten anderen Systeme im HTTP-Header übertragen ("GET /search?q=29 HTTP/1.0"). Die Informationen vermengt F-Secure mit weiteren Daten und kommt schließlich auf die nach eigener Meinung sehr konservative Schätzung von rund neun Millionen PCs (Stand Freitag, 16. 1.). Täglich sind bislang jeweils mehrere hunderttausend hinzugekommen.

Wieviel Rechner nun aber wirklich infiziert sind, weiß kein Mensch. Zudem ist schwer zu erklären, warum gerade der Conficker-Wurm so erfolgreich sein soll. Immerhin gibt es seit rund drei Monaten einen Patch zum Schließen der Windows-Lücke, über die er eindringt.

Allerdings verbreitet er sich nicht nur über eine ältere Lücke in Windows, sondern auch über Netzwerkshares. Dabei macht er sich offenbar mit einem schwachen Passwort geschützte Administratoren-Konten zunutze. Darüber hinaus befällt er auch USB-Sticks. Schließt man einen infizierten Stick an den Rechner an, so fragt der Rechner zwar nach der gewünschten Aktion, statt den Wurm gleich zu starten. Allerdings soll der Wurm nach Angaben des Internet Storm Center dem Anwender dabei durch nachgemachte Icons zum Klick auf die Start-Option bringen können (Bild siehe hier).

Gegenüber britischen Medien gab der Anti-Bot-Dienstleister Damballa an, er habe nur rund 500.000 IP-Adressen beobachtet. Dies würde bedeuten, dass im Durchnitt hinter jeder Adresse 18 weitere, durch einen NAT-Router versteckte PCs stünden. Eine Zahl, die man für unwahrscheinlich halte. Auch SecureWorks hält die Zahl für fraglich, da nicht auszuschließen sei, dass infizierte PCs mehrfach gezählt würden. Gerade bei DSL-Anschlüssen taucht ein infizierter PC über einen gewissen Zeitraum mit mehreren Adressen auf. Bislang soll Conficker aber hauptsächlich Unternehmensnetzwerke von innen befallen haben, etwa durch infizierte Laptops.

Siehe dazu auch:

• Studie: 2,5 Millionen PCs mit Conficker-Wurm infiziert, Meldung auf heise Security
• Conficker in Kärnten: Nach der Landesregierung nun die Spitäler, Meldung auf heise Security
• Conficker schlägt bei Kärntner Regierung zu, Meldung auf heise Security
• Microsoft: Kunden spielen "Russisches Roulette" mit ihren Systemen, Meldung auf heise Security
• Windows-Wurm nimmt an Fahrt auf, Meldung auf heise Security
• Microsoft patcht kritische Lücke im RPC-Dienst, Meldung auf heise Security

(Daniel Bachfeld) / (dab)