Conficker: Der Schläfer wacht auf

PC-Doktoren tragen ihren Namen nicht ohne Grund: Erst wenn der Computer streikt, denken viele Menschen daran, dass Vorsorge der beste Schutz vor Erkrankung ist. Das gilt insbesondere für die aktuell durchs Internet rasende Grippewelle mit dem Namen „Conficker“. Wer stets seine Windows-Updates installiert hat und nur mit Virenscanner und Firewall unterwegs war, muss wenig befürchten, weiß Symantec-Virenjäger Candid Wüest. Die anderen Computernutzer müssen sich nun berechtigte Sorgen machen. Denn der Wurm, der bislang nur schlummerte, ist nun aktiv geworden.

Conficker ist das Paradebeispiel eines modernen Computerwurms, der verschiedene raffinierte Tricks nutzt, und damit selbst die Experten beeindruckt. Er nutzt zum Beispiel komplexe Verschlüsselungstechnik, die eine Analyse des Schädlings zumindest erschweren. Zudem ruft er über Peer-to-Peer-Funktionen, wie sie sonst bei Tauschbörsen eingesetzt werden, neue Programmcodes ab und kann sich so ständig verändern, erklärt Wüest.

Genau das passiert seit einigen Tagen. Auch die Antivirenexperten von Kaspersky Lab warnen vor der neuen Version des Schadprogramms (das bei Kaspersky Kido heißt) mit seinen zwei neuen infizierten Dateien. In einem Fall handelt es sich um eine bösartige Antiviren-Applikation, auch Scareware genannt. Sobald das Programm läuft, erscheint auf dem Bildschirm der Opfer ein Fenster, das den User über eine vermeintliche Infektion informiert. Ihm wird dann angeboten, den nicht vorhandenen Schädling für 49,95 Dollar zu löschen.

Während die Experten noch darüber streiten, ob dieses ukrainische Scareware-Programm tatsächlich zu Conficker gehört, ist man sich bei der zweiten Datei einig. Symantec, Kaspersky & Co. erkennen darin einen E-Mail-Wurm, der bereits unter dem Namen Waledac bekannt und berüchtigt ist. Er späht Computer aus und stiehlt deren Daten. Zudem kapert er den PC, fügt ihn als Zombie-Computer in ein Botnetz ein, mit dem dann massenhaft Spam-Mails versendet werden. In nur zwölf Stunden verschickte ein einziger mit Waledac infizierter Computer 42 298 Spam-Nachrichten.

Der Waledac-Wurm ist aber auch ohne Conficker höchst aktiv. „Aktuell können wir beobachten, dass verstärkt eine erneute Spam-Welle mit verseuchten Links auftritt. Die betreffenden Spam-Mails weisen auf eine Bombenexplosion in der Nähe des Lesers hin“, erklärt Candid Wüest. Darüber hinaus enthält die Mail einen Link, der auf eine gefälschte Seite von Reuters News führt. Anhand der IP-Adresse wählt die gefälschte Webseite eine Stadt in der Nähe des Opfers als Ort aus. So kann die Meldung lauten: „Reuters-Germany: Terror Attack in Bocholt“. Der Benutzer wird aufgefordert einen aktualisierten Videocode zu laden. Tatsächlich holt man sich so den Waledac-Wurm auf den Rechner, der den eigenen PC am Ende zur Spam-Schleuder macht.

Immerhin arbeitet die IT-Industrie bei der Conficker-Bekämpfung Hand in Hand. Im Februar hat Microsoft die Conficker Working Group ins Leben gerufen, an der diverse Branchengrößen wie AOL, Symantec, F-Secure, die Community Facebook und die Internetorganisation Icann beteiligt sind. Selbst ein Kopfgeld wurde ausgesetzt: 250 000 Dollar winken, wenn man Informationen zur Ergreifung der hinter Conficker stehenden Kriminellen anzubieten hat.

Wichtiger als das Kopfgeld sollte den Usern der Schutz ihrer Windows-Computer sein. Und da gibt es wieder einiges zu tun. Zum monatlichen Patchday an diesem Dienstag verteilt Microsoft acht Software-Flicken, mit denen 23 Sicherheitslücken in Microsoft-Produkten geschlossen werden, wie das Bundesamt für die Sicherheit in der Informationstechnik (www.buerger-cert.de) schreibt.

www.confickerworkinggroup.org