Der 1. April hält diesmal einen Scherz der weniger lustigen Art bereit. Sicherheitsexperten befürchten, dass der Conficker-Wurm wieder zuschlägt. Dessen Angriffe werden von Mal zu Mal gefährlicher.
Der Conficker-Wurm hält die IT-Welt in Atem. Admins und Sicherheitsbeauftragte sollten sich insbesondere für den 1. April rüsten. Experten befürchten, dass die Malware dann neue Requests an 500 Domains für ein Update schicken wird.
Was dieses Update genau machen wird, weiß im Moment niemand. Doch die bisherigen Versionen von Conficker - alias Downadup - haben sich als erstaunlich einfallsreich und tückisch erwiesen.
Einige Millionen PCs infiziert
So hat die Verson C, die letzte Iteration des Wurms, eine Peer-to-Peer-Kommunikation zwischen infizierten Systemen aufgebaut. Außerdem ist der Wurm imstande, beispielsweise Antiviren-Software außer Gefecht zu setzen und die Funktion Auto Update von PCs abzuschalten.
Der Wurm hat in allen Varianten bisher schon schon einige Millionen PCs infiziert. Das hat dazu geführt, dass Unternehmen wie Microsoft und AOL sich zusammengetan haben, um Domains stillzulegen, die Conficker attackiert.
Immerhin können Anwender die Malware auf ihrem PC relativ leicht entfernen, etwa mit den Removal-Tools, die Anbieter wie Symantec zur Verfügung stellen.
Variante A war harmlos
Dabei waren die erste Varianten von Conficker im Herbst 2008 noch einigermaßen harmlos. Ursprünglich hatte die Malware eine Sicherheitslücke in Microsofts Windows Server ausgenutzt.
Pierre-Marc Bureau, eine Analyst beim Security-Anbieter Eset sagt: »Die Variante A machte den Eindruck eines Testlauf, und sollte sich gar nicht weltweit verbreiten. Sie hat zum Beispiel nach einem ukrainischen Keyboard oder eine ukrainischen IP gesucht, bevor sie einen Rechner infiziert hat.«
Verbreitung über schwache Passwörter
Andere frühe Variante versuchten eine Datei namens loadav.exe herunterzuladen. Allerdings war die entsprechende Datei nie auf einen Webserver hochgeladen und konnten so von Conficker gar nicht heruntergeladen werden. Die zweite Version des Wurms verbreitete sich nicht nur über eine Schwachstelle in Windows Server aber auch über Netzwerke, die nur durch schwache Passwörter gesichert waren oder auch über USB-Sticks.
Die neue Variante des Conficker-Wurms ist auch eine Bewährungsprobe für die Antiviren-Hersteller. Sie müssen rechtzeitig Removal-Tools bereitstellen - und dürfen sich dabei keine einzige Panne leisten.
(Brian Prince, eWEEK.com/Mehmet Toprak)
Weblinks
Symantec Removal Tool
Microsoft-Patch für Windows Server
Eset
Conficker-Report auf PC Professionell
Raimund Genes, Technik-Chef beim Security-Spezialisten Trend Micro, über die Bedrohung durch den Conficker-Wurm und Unternehmen, die ihre Sicherheit vernachlässigen.
Niemand weiß, was am 1. April wirklich passieren wird. Die Malware wird dann stärker kommunizieren, und kann zusätzliche Komponenten herunterladen, um sich in einen Spam-Bot oder einen DDOS-Bot zu verwandeln.
Einige Sicherheits-Anbieter sprachen ja von 12 Millionen infizierten Rechnern, wir gehen von weniger als 4 Millionen Rechnern aus. Und dank des weltweiten Medienechos werden viele Systeme noch vor dem 1. April bereinigt werden. Also kein Grund zur Panik, das Internet wird nicht am 1. April sterben.
Sicherheitsindustrie steht Gewehr bei Fuß
Und die ganze IT Sicherheitsindustrie und Unternehmen wie Microsoft stehen natürlich Gewehr bei Fuß, um Anwendern zu helfen. Zum Beispiel haben wir bei Trend Micro die Cleanup-Tools auch auf Webseiten bereitgestellt, die von dem Schädling nicht blockiert werden (Conficker blockiert viele der bekannten Web-Domains von Antivirenherstellern und auch die Updates von Microsoft). Also sind wir auf alles vorbereitet.
WICHTIG:
das letzte update des Windows Malicious Software Removal Tool.
alle uodates der persönlchen antivirus software und firewall zulassen
das Symantec Removal Tool möglicherweise spechern zur entfernung des wurms, falls doch ein befall erfolgt ist
UND: dies NICHT für einen aprilscherz halten!
vorsicht ist die mami der porzellankiste!
liebe grüße
von susanne
Susanne lässt sich nicht öffnen Sie den Absender nicht weiß, war ich aus Neuseeland versucht, meine Kreditkarte nrs
AntwortenLöschenund mein Freund, die an Bali geschah fast gleichzeitig mit der ING Bank.
Ich war es so schlimm war ich in Bali mit Urlaub. Ich wollte Euro Transfer, zum Glück war meine Karte gesperrt. Der Täter wurde später verhaftet die Polizei in Wellington. Es war ein Holländer, die seit 1963 auch in Neuseeland woonde.Je kann nicht in ausreichendem Maße erfüllt. Gr Berto
glück gehabt berto
AntwortenLöschenaber das war eher nicht der wurm sondern vermutlich eine phishing seite - eine ebenso fiese art an passwörter zu kommen
man kann nie genug aufpassen
liebe grüße
von susanne
april ... april ...
AntwortenLöschenvorsciht vorsicht melanie *VBG*
AntwortenLöschennoch ist der tag nicht zu ende, aber ich hoffe ja, wir sind alle solch gewitzte hasen, dass der wurm uns nix anhaben kann
für den notfall hab ich das entfernungstool auf stick *grins*
liebe grüße
von susanne
Virenalarm! Neue Conficker-Variante ist aktivVirenscanner 09.04.2009 | 13:32 Lange haben alle gewartet und nichts passierte. TrendLabs-Forscher Ivan Macalintal entdeckte dann gestern Abend die neue Variante des gerissenen Schädlings. Neuer Code verteilt sich nun aktiv über die P2P-Funktionen des berüchtigten Vorgängers. Der Wurm Conficker.E oder Downad.E verteilt sich über die Funktionalität im vorher verteilten Wurm. Der neue Digitalfiesling reaktiviert die Verbreitungsmechanismen des Vorgängers und arbeitet nun auch mit anderen Schädlingen zusammen - die TrendMicro-Labors glauben, einen Zusammenhang zu erkennen: Die Bösewichter Conficker und Waledac scheinen aus der selben Schmiede zu kommen. Die Würmer sprechen mit Servern, die jeweils von anderen Schädlingen genutzt wurden. Sicherheitsforscher sehen sogar einen Zusammenhang mit dem Stormbot-Netz. TrendMicro-Mann Rik Ferguson glaubt, es könnte sich bei den Urhebern aller drei großen Bedrohungen um ein und dieselbe "Cybercrime-Gang" handeln. Um 23:30 uhr abends publizierten auch die Kasperksy Labs USA, um halb zwölf nachts die Blog Malware Diaries, um 2 Uhr nachts nahm es die australische Website Techgeek in seine Eilmeldungen, das Blognetz "not just the News" (NJN) verteilte die Meldung um 3 Uhr nachts weltweit auf Websites - conficker häl die Welt in Atem. Für Techniker: Sogar die Ports, über die der digitale Hotzenplotz sich verbreitet und über die er Schädlinge miteinander kommunizieren lässt, sind per Zufallsgenerator produziert: und liegen zwischen 1024 und 10.000. Wie der Wurm nach bisherigem Wissen genau agiert, steht im Blog des Antivirenspezialisten. Vieles ist noh unbekannt. Die Website der unternehmensübergreifenden Conficker Working Group, die das <a style="border-bottom: 0.07em solid darkgreen;padding-bottom: 1px ! important;background-color: transparent ! important;font-size: 100% ! important;font-weight: normal ! impo
AntwortenLöschen