Conficker – Ein Botnetz baut sich auf

Ein Botnetz baut sich auf (Quelle: Bigstock-ID-7156511-by-Araga)

Mit Botnetzen, wie Conficker eines ist, können zum Teil Millionen infizierte Rechner ferngesteuert werden und geraten zu einer Art Rechner-Armee. Mit solchen Botnetzen werden häufig Spam-Mails in großem Stil versandt, Klickbetrug begangen oder andere Netzwerke angegriffen. Dies geschieht durch sogenannte DDoS-Attacken bei denen eine große Anzahl Computer zum Beispiel gleichzeitig auf eine bestimmte Internetseite zugreift, die dann unter der Last der vielen Anfragen zusammenbricht und nicht mehr erreichbar ist.

Wie funktioniert so ein Botnetzwerk?

Ein Botnet wird aufgebaut, indem dafür gesorgt wird, dass der Bot-Master (der das Botnetzwerk aufbauen und steuern will) Zugriff auf möglichst viele Rechner bekommt. Dies kann durch Malware geschehen, die an viele verschiedene Mail-Adressen versandt wird um dann heruntergeladen zu werden. Eine andere Methode sind verseuchte Downloads. Bei dieser Vorgehensweise lädt der Nutzer ein ganz normales Programm herunter und installiert dieses. Wenn dieser Download aber nicht aus einer sicheren Quelle stammt, kann es passieren, dass mit dem gewünschten Programm gleichzeitig Malware oder Trojaner mitinstalliert werden.

Exploits

Conficker verbreitet sich in erster Linie über Exploits. Bei dieser Vorgehensweise werden bestehende Sicherheitslücken in Betriebssystemen oder Programmen genutzt um den Schadcode auf den fremden Rechner zu schleusen. Diese Rechner müssen aber auf irgendeine Art und Weise mit einem beliebigen, zugänglichen Netzwerk verbunden sein. Ob dies ein firmeninternes Netzwerk mit Internetanbindung oder die heimische Telefonbuchse ist, über die man sich mit dem Internet verbindet, spielt dabei keine Rolle. Jeder infizierte Rechner sorgt selbst für die Weiterverbreitung des Wurms, indem er ihn beispielsweise an alle E-Mail-Kontakte weiterleitet oder ähnliche Exploits automatisiert durchführt. Malware wie Conficker kann sich aber auch von einem infizierten Rechner aus per Datenträger weiterverbreiten. Also zum Beispiel über einen USB-Stick, CDs, DVDs oder externe Festplatten. Wenn dann entsprechend viele PCs infiziert sind, kann der Bot-Master auf all diese Rechner zugreifen und sie zu seinen Zwecken missbrauchen und viel Schaden verursachen.

Vergangenheit

Conficker hat in den vergangenen Jahren bereits großen Schaden angerichtet. Sowohl die Bundeswehr als auch die französische Luftwaffe waren von einem immensen Befall betroffen und mussten unter großem Aufwand ihre Rechner wieder von dem Wurm befreien. Das Bildungsministerium von Mecklenburg-Vorpommern musste 170 brandneue Computer direkt wieder entsorgen, als ein entsprechender Befall bemerkt wurde. Was aber der wirkliche Zweck von Conficker ist, ist bislang ungeklärt. Das Botnetz wurde als solches noch nicht aktiviert und genutzt. Es ist also weiterhin für jeden PC-Besitzer Wachsamkeit geboten.

Wer steckt hinter Conficker?

Wer hinter Conficker steckt, ist bis heute nicht hinreichend geklärt. Es gibt verschiedene Vermutungen und Thesen zu diesem Thema, doch mit absoluter Sicherheit kann man keinen Täter benennen. Doch auch wenn es noch keinen klaren Schuldigen gibt, kann man doch von ein paar Tatverdächtigen reden. So ist es zum Beispiel recht bemerkenswert, dass Computer mit aktiven ukrainischen Tastaturen immun gegen diesen Wurm sind. Dieser kleine Schutz wurde im Sourcecode des Wurms wohl bewusst eingebaut. Schon lange ist bekannt, dass viele Würmer, trojanische Pferde und andere Malware aus Osteuropa stammen. Dort kommen nämlich zwei Dinge zusammen, die das Entstehen solcher Malware begünstigen: Eine größere Zahl an hochbegabten IT-Experten und Programmierern sowie weit verbreitete kriminelle Organisationen, die erkannt haben, wie viel Geld mit schadhafter Software verdient werden kann.
Ramses Martinez, Director of Information Security bei VeriSign und einer der wichtigsten Jäger des Conficker-Wurms, gibt an, Kontakt mit einem der Hintermänner gehabt zu haben. Martinez beschreibt den Mann als intelligenten Mittfünfziger, der keineswegs mit irgendwelchen Kleinkriminellen zu vergleichen sei.

Verbindungen zu Waledac und zum Storm-Botnet

Experten haben beobachtet, dass Conficker Kontakt zu Domains aufnahm, die bereits mit dem Waledac-Wurm infiziert waren. Nach der Kontaktaufnahme sorgte Conficker dafür, dass Waledec auf den bereits infizierten Computer geladen wurde. Man kann also annehmen, dass irgendeine Verbindung zwischen den Schöpfern von Conficker und den Schöpfern von Waledac vorhanden ist. Waledac wiederum wird häufig in Zusammenhang mit dem Storm-Botnetz gebracht. Wie all diese schadhafte Software und ihre Hintermänner aber wirklich verbunden sind, liegt weiterhin im Dunkeln.

Sicherheit und Schutzmaßnahmen

Um sich vor diesem Wurm erfolgreich zu schützen, sollte das genutzte Anti-Viren-Programm immer auf dem neuesten Stand sein. Regelmäßige Updates minimieren also die Gefahr einer Infizierung. Damit auch die Verbreitung über externe Datenträger unterbunden wird, sollte man mit einem der angebotenen Tools oder über die Systemsteuerung dafür sorgen, dass der Autorun angeschlossener Geräte dauerhaft deaktiviert ist. Ob der eigene Rechner von Conficker infiziert wurde, lässt sich sehr leicht feststellen. In diesem Fall lassen sich die Microsoft-Webseite oder die Seiten bekannter Antivirushersteller nicht mehr aufrufen. In schwereren Fällen ist der eigene Benutzeraccount gesperrt, meist aufgrund zu häufiger Fehleingaben des Nutzerpasswortes. Ein weiterer Hinweis ist die Darstellung angesteckter USB-Sticks. Wenn diese nur noch als Ordnersymbol angezeigt werden, statt dem üblichen USB-Symbol, kann von einer Infizierung ausgegangen werden. Bei einem Conficker-Befall funktionieren auch Windows-Updates nicht mehr.

Was tun wenn man Infiziert ist?

Um den Wurm wieder zu entfernen gibt es verschieden Möglichkeiten. Microsoft, Bitdefender, F-Secure, Kaspersky und Symantec bieten auf ihren Webseiten Tools an, mit denen das Entfernen möglich gemacht wird. Auch die Universität Bonn bietet einen solchen Service. Diese Programme stoppen den Wurm auf dem eigenen Rechner und entfernen ihn. Für welche Versionen des Wurms diese Software funktioniert und wie umfassend das Löschen stattfindet, lässt sich bisher leider nicht ermitteln. Daher sollte man darauf achten, dass der eigene PC gar nicht erst mit diesem Wurm infiziert wird.

Fazit

Conficker verbreitet sich nach wie vor, die Gefahr ist also noch lange nicht gebannt. Wer diesem Risiko aber bewusst begegnet, kann Schlimmeres verhindern. Desweiteren muss sich aber auch erst noch zeigen, ob und wann das durch Conficker errichtete Bot-Netz von seinen Schöpfern genutzt wird.

 

Bildquelle: Bigstock-ID: 7156511 by Araga

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *