Details zum Wurm Conficker/Downadup

Nach dem letzten Artikel zum Befall von Bundeswehrrechnern mit dem Computer-Wurm Conficker/Downadup bietet dieser Artikel einige Informationen zu diesem Wurm und seinem Gefahrenpotential.

Der Wurm nutzt zu seiner Verbreitung verschiedene Methoden. Vordergründig greift er Windows-Systeme (alle Windows-Versionen ab Win95 bzw. NT4) im eigenen (Class-C-)Netz gezielt per Anpassung der lokalen IP über eine Schwachstelle an, für die bereits im Oktober 2008 ein Patch (MS08-067, ab W2k SP4) veröffentlicht wurde. Somit können alle automatisch (bzw. regelmäßig manuell) aktualisierten Windows-Rechner auf diesem Wege nicht mehr infiziert werden. Doch der Conficker-Wurm kann zu seiner Verbreitung außerdem auf Netzwerkshares und USB-Sticks zurückgreifen. Bei den Netzwerkshares werden außer solchen ohne Passwort auch welche mit einfachen Passwörtern vom Wurm missbraucht. Hierzu enthält der Conficker eine Liste (siehe Norton externerLink) mit zahlreichen Standardpasswörtern, die per Wörterbuchattacke durchprobiert werden. Hierdurch kann es zu temporären automatischen Sperrungen der User-Accounts kommen. Findet der Wurm USB-Sticks, so kopiert er sich auch dorthin und installiert sich zusätzlich in die Autostartroutine des Sticks, so dass ein zusätzlicher Menüpunkt beim Autostart angezeigt wird, der zahlreiche User, die nicht genau hinsehen, dazu verleitet, statt des Icons zum Öffnen im Explorers das ähnlich aussehende Icon des Wurms anzuklicken.

Vor allem in größeren Netzwerken stellt der Wurm dadurch eine enorme Gefahr dar. Viele Unternehmen nutzen nicht die Einstellung zum automatischen Update, da zum einen in großen Netzwerken hierdurch eine sehr hohe Netzwerklast entstehen würde und zum anderen da durch Updates auch immer die Gefahr vorhanden ist, dass irgendein Programm sich damit nicht verträgt und es somit zu Ausfallzeiten kommen kann. Da aus Zeit- oder Kostengründen die erforderlichen regelmäßigen Updates mitunter auch nur sporadisch über die IT-Infrastruktur verteilt werden, klaffen in solchen Netzen manche Lücken mitunter Monate oder gar Jahre lang. Hinzu kommt, dass gerade in der Windows-Welt viel zu oft viel zu einfache Passwörter Verwendung finden, so dass in diesem Fall auch gepatchte Systeme über das Netzwerk infiziert werden können. Der Umstand, dass Normalanwender gerne den für IT-Profis extrem unangenehmen Explorer nutzen und auch gerne in den Autostartmenüs von Wechselmedien wie USB-Sticks herumnavigieren, sorgt dafür, dass selbst theoretisch sichere Systeme mit starken Passwörtern befallen werden können.

Nachdem sich der Wurm im System eingenistet hat, versucht er, von bestimmten Pseudo-zufälligen Domains Updates bzw. andere Schadsoftware herunterzuladen. Gleichzeitig sperrt er den Zugang zu diversen Internetseiten, die Informationen über Viren liefern oder gar Virenscanner bereitstellen. Wie schon weiter oben erwähnt, kann es außerdem dazu kommen, dass sich User nicht mehr anmelden können, da dank der Wörterbuchattacke deren Konten vorübergehend gesperrt sind. Gefährlich ist der Conficker-Wurm aber vor allem auch deshalb, weil er Daten, insbesondere Passwörter, ausspäht und versucht, diese ins Internet an entsprechende Domains zu verschicken. Der weitere Missbrauch der so an den/die Entwickler des Wurms gesendeten Daten ist kaum überschaubar.

Einige Namen/Versionen des Wurms:
Bitdefender - Win32.Worm.Downadup.Gen
Computer Associates - Win32/Conficker.B
Eset - a variant of Win32/Conficker.AE worm
F-Secure - Worm:W32/Downadup.AL, Worm:W32/Downadup.gen!A
Grisoft - I-Worm/Generic.CJY
Kaspersky - Net-Worm.Win32.Kido.fw
Norton Symantec - W32.Downadup.B
Panda - Trj/Downloader.MDW
Sophos - W32/Confick-D, Mal/Conficker-A
Trend - WORM_DOWNAD.AD

Einen Kommentar schreiben