Nachlade-Versuche von Conficker laufen ins Leere

Wie erwartet hat die C-Variante des Conficker-Wurms am heutigen Mittwoch ihre Versuche begonnen, Kontakt mit zahlreichen Webseiten aufzunehmen, um Updates herunterzuladen oder Befehle entgegenzunehmen. Ebenfalls wie erwartet hat dies aber weder zu Beeinträchtigungen des Internetverkehrs noch zu einem neuen Ausbruch geführt – was allerdings auch daran liegen kann, dass die Wurmautoren nach Angaben von F-Secure bislang keine Updates auf den Seiten hinterlegt haben.

Auch Thomas Hungenberg vom CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erklärte gegenüber heise Security, dass keine Hinweise vorliegen, "dass mit der aktuellen Variante des Schadprogramms Conficker infizierte Systeme erfolgreich Programmcode über einen der generierten Domainnamen aus dem Internet nachladen konnten."

Ob der Wurm aber überhaupt Gelegenheit hatte, die Seiten zu erreichen oder diese bereits von der Conficker Working Group (CWG) blockiert wurden, ist derzeit unklar. Die CWG gibt dazu auch keine Informationen heraus. Alternativ hat Conficker.C jedoch noch die Möglichkeit, über seine Peer-to-Peer-Funktion Kontakt mit anderen Conficker-infizierten Maschinen aufzunehmen und von dort Updates nachzuladen oder Befehle abzuholen. Hier ist nach Angaben von McAfee offenbar aber ebenfalls noch nicht viel passiert.

Ohnehin ist der Anteil von Conficker.C gemessen an der Gesamtverbreitung von Conficker relativ gering. Die C-Abkömmlinge sind aus einem Update der B-Variante hervorgegangen, als es einigen davon trotz der Blockade-Versuche der Conficker Working Group gelang, Kontakt mit Update-Seiten aufzunehmen.

Grund für eine Entwarnung gibt es aber nach Angaben von Hungenberg vom BSI dennoch nicht: "Die mit der aktuellen sowie auch mit früheren Varianten des Schadprogramms infizierten Systeme versuchen auch nach dem 1. April täglich Programmcode nachzuladen." Die Wurmautoren können also weiterhin jederzeit ein Update hinterlegen oder einen Befehl für eine bestimmte Aktion geben. Dass sie dies unter den Augen der vorgewarnten Weltöffentlichkeit am 1. April tun, war sowieso unwahrscheinlich.

Administratoren sollten die Zeit nutzen, die zur Verfügung gestellten Tools zum Aufspüren und Eliminieren von Conficker herunterzuladen und einzusetzen. Noch immer sind (seit Monaten) mehrere Millionen Windows-PCs mit Conficker infiziert, wovon wahrscheinlich der größte Teil in Unternehmensnetzen zu finden ist. Weitere Informationen zum Schutz vor Viren, Würmern und anderen digitalen Schädlingen bieten die Antiviren-Seiten von heise Security.

Zum Conficker-Wurm siehe auch

• Trittbrettfahrer missbrauchen Angst vor Conficker
• Conficker entmystifiziert
• Deutsche Forscher entwickeln Netzwerk-Scan für Conficker-Wurm
• Conficker-Wurm lädt nach – vielleicht
• Tools zum Entfernen von Conficker

• Conficker-Wurm rüstet auf
• Conficker-Wurm stört legitime Domains im März
• Der Conficker-Wurm wird flexibler

• ICANN-Arbeitsgruppe soll Maßnahmen gegen Conficker-Wurm finden
• Hunderte Bundeswehr-Rechner von Conficker befallen
• Microsoft bietet 250.000 Dollar für Hinweise auf Conficker-Verbreiter

• F-Secure: Jetzt neun Millionen Windows-PCs mit Conficker-Wurm befallen
• Studie: 2,5 Millionen PCs mit Conficker-Wurm infiziert

• Conficker in Kärnten: Nach der Landesregierung nun die Spitäler
• Conficker schlägt bei Kärntner Regierung zu

• Windows-Wurm nimmt an Fahrt auf

(Daniel Bachfeld) / (dab)