Am 1. April könnten weltweit bis zu zehn Millionen Computer Opfer einer kriminellen Attacke werden. Grund ist die Infektion mit einem Virus namens Conficker, die schon Monate zurück liegen kann. Bonner Informatiker haben den Schädling in den letzten Wochen seziert. Ihren Erkenntnissen zufolge wird Conficker ab heute versuchen, mit Kontrollservern in Kontakt zu treten und von ihnen Befehle entgegen zu nehmen. Dabei verfolgt er eine trickreiche Strategie.
{1r}
Conficker zählt zu den so genannten Computerwürmern. Anders als herkömmliche Viren verbreiten sich Würmer selbsttätig weiter. Conficker nutzt dafür eine seit Oktober 2008 bekannte Sicherheitslücke in Microsoft Windows aus, über die er sich von Rechner zu Rechner kopiert.
„Conficker ist der Wurm mit der bislang größten beobachteten Verbreitung“, erklärt Felix Leder von der Universität Bonn. „Nach Schätzungen sind zwischen drei und zehn Millionen Rechner weltweit befallen. Bisher hat er noch keinen Schaden angerichtet. Nach unseren Erkenntnissen könnte sich das aber am 1. April ändern. Dann wird Conficker nämlich das erste Mal versuchen, mit einem so genannten Kontrollserver in Kontakt zu treten und von diesem Befehle zu empfangen.“
Tag für Tag 500 neue Kontaktadressen
Leder hat zusammen mit seinem Kollegen Tillmann Werner das Innenleben des Wurms genau untersucht. Ihren Analysen zufolge bedient sich Conficker bei der Kontaktaufnahme eines ausgeklügelten Systems: Jeder Server im Internet hat einen festen Namen, unter dem er erreichbar ist – eine Art Telefonnummer.
Würde ein Wurm immer dieselbe Nummer nutzen, könnte man ihn einfach bekämpfen: Man könnte beispielsweise dafür sorgen, dass der befallene Rechner genau diese eine Nummer nicht anrufen kann. Um das zu verhindern, wechselt der Server, mit dem Conficker „telefoniert“, täglich seine Nummer. „Genauer gesagt nutzt Conficker zur Kommunikation 500 verschiedene Nummern, die sich jeden Tag ändern“, erklärt Werner.
Die Schöpfer des Wurms haben ihm dazu eine Vorschrift einprogrammiert, nach der er die jeweils gültigen Nummern des Tages erzeugt. „Wir haben diese Vorschrift entschlüsselt“, sagt Werner. „Wir wissen also für jedes Datum in der Zukunft, unter welchen Rufnummern die Kontaktaufnahme erfolgen wird.“ Dadurch lässt sich die Kommunikation wirksam unterbinden.
Die Bonner Informatiker stellen ihre Nummernlisten unter iv.cs.uni-bonn.de/conficker zum Download bereit. Dort finden sich auch verschiedene Tools für Experten, um den Schädling von einem befallenen Rechner zu entfernen. Herkömmliche Virenscanner tun sich mit dieser Aufgabe schwer, weil Conficker in ständig wechselnden Verkleidungen auftaucht.
Gegenmaßnahmen
Leder und Werner haben bei ihrer detaillierten Untersuchung des Wurms eine Reihe von Bekämpfungsmöglichkeiten gefunden. Diese reichen von der Erkennung von infizierten Computern mit Hilfe von Netzwerk-Scans und Verkehrsdaten bis hin zu Werkzeugen, die lokale Infektionen aufdecken und beseitigen. Zudem stellen sie eine Methode vor, mit der sich Rechner gegen aktuelle Conficker-Varianten virtuell „impfen“ lassen.
In ihrer Veröffentlichung finden sich detaillierte Beschreibungen zu den Interna von Conficker sowie der Funktionsweise der entwickelten Techniken. Zudem haben sie entsprechende Software-Werkzeuge programmiert, die sie auf der Homepage zusammen mit deren Source Code zum Download zur Verfügung stellen.
Vorbeugung ist die beste Wurmkur
Die beste Wurmkur ist jedoch nach wie vor die Vorbeugung. „Unser Apell ist ganz einfach“, betont Werner: „Nutzen Sie die automatische Update-Funktion Ihres Betriebssystems. Aktivieren Sie die Windows-Firewall. Und installieren Sie einen Virenscanner, der sich regelmäßig aktualisiert. Mit diesen drei elementaren Schritten lässt sich die Gefahr einer Vireninfektion drastisch senken.“
(idw – Universität Bonn, 01.04.2009 – DLO)
