Menü
Security

Der Conficker-Wurm wird flexibler

vorlesen Drucken Kommentare lesen 327 Beiträge

Die Autoren des Windows-Wurms Conficker entwickeln ihr Machwerk offenbar stetig weiter. Forscher des SRI International haben bei ihren Analysen festgestellt, dass die aktuellen Varianten Conficker B und B++ deutlich flexibler sind, was das Nachladen von Erweiterungen und neuen Versionen angeht.

Die erste Version des Wurms kontaktierte dazu Webseiten, deren Domain er nach einem leicht vorhersagbaren Verfahren ausgewürfelt hat. Microsoft und ICANN versuchten daraufhin, diese Domains unter ihre Kontrolle zu bringen beziehungsweise zu sperren. Die nachfolgende Version B verwendete ein anderes Verfahren, die Domains für seine Kontaktversuche zu ermitteln. Außerdem verzichtet sie auf den sogenannten "Selbstmordschalter", der bei Version A in Aktion trat, wenn der Wurm eine ukrainische Tastatureinstellung entdeckte.

Das neueste Machwerk schließlich, Conficker B++, kann nicht nur DLLs nachladen, sondern beliebige, komplette Programme; es erweitert damit den Spielraum für weitere Aktivitäten der Botnetz-Betreiber. Und außer der Nachladefunktion enthält diese Version auch noch eine Hintertür, über die man von außen aktiv Zusatzmodule oder neue Versionen einschleusen kann.

Die Forscher haben mittlerweile rund 10 Millionen IP-Adressen mit Conficker-Aktivitäten gezählt; davon über 6 Millionen mit Conficker B. Dies spiegelt jedoch nicht die Zahl der infizierten Systeme wieder. Diese dürfte nach Schätzungen von SRI International um rund eine Großenordnung niedriger, also eher im Bereich einer bis weniger Millionen Systeme liegen. Interessant ist auch die länderspezifische Auswertung: Dort führt China mit rund 2,7 Millionen IPs, und Deutschland liegt mit 195,923 infizierten Adressen noch knapp vor den USA.

Siehe dazu auch:

(ju)