Mit Conficker ist ab 3. Mai Schluss

Martin Schindler,

Der Conficker-Virus wird implodieren. Deshalb jedoch bereits Entwarnung zu geben, wäre verfrüht. Wie Trend Micro berichtete, macht der Wurm derzeit geheimnisvolle Dinge.

Conficker baut zwischen infizierten PCs jeweils ein Peer-to-Peer-Netzwerk auf und hält sich so auf aktuellem Stand. Außerdem installiert er einen Code, von dem noch nicht geklärt ist, welchen Zweck er verfolgt.

Vermutlich soll auf diese Weise ein Keylogger installiert werden oder ein anderes Programm, mit dem dann sensitive Daten auf den befallenen Rechnern ausgelesen werden können. Diese Aktivitäten haben die Autoren des Wurms hinter einem Rootkit verborgen, so dass der Schadcode vom Betriebssystem nicht erfasst werden kann.

Außerdem sei der Schad-Code durch einen komplexen Verschlüsselungsalgorithmus geschützt, was die Analyse des Programms zusätzlich erschwere, erklärt David Perry, Global Director Security Education bei Trend Micro.

Um zu testen, ob der befallene Rechner über eine Internetverbindung verfügt, stellt der Wurm, ohne dabei Spuren zu hinterlassen, Verbindungen zu MySpace, MSN oder Ebay her. Jedoch scheint er eine zeitliche Begrenzung eingebaut zu haben. Die Forscher bei TrenMicro wollen herausgefunden haben, dass sich der Schädling am 3. Mai deaktiviert.

Es scheine nicht so, als ob nach diesem Datum weitere Aktionen geplant seien. Dennoch könnten befallene Rechner auch nach diesem Datum noch unter der Kontrolle der Angreifer stehen, wie Perry erklärte. Derzeit jedoch laden befallene Maschinen im großen Stil Updates von einem koreanischen Server.

Mehrere Millionen Rechner sollen bereits von dem Schädling befallen sein. Wer prüfen möchte, ob sein System dazu zählt, kann dies auf einer Test-Seite der Universität Bonn tun.

Allerdings warnen jetzt die Sicherheitsexperten von BitDefender vor einer neuen Variante des Schädlings, gegen die die bisherigen Mittel offenbar nicht gerüstet sind. Die neue Variante des Conficker-Wurms blockiert nicht nur den Zugang zu den Web-Seiten der Antivirus-Hersteller, Third-Party-Anbieter und Online-Scanning Services oder Removal-Tools, sondern auch den Zugriff auf die kürzlich angekündigten Web-Seiten, welche die vorherigen Versionen des Conficker-Wurms beseitigen konnten. Unter www.disinfecttools.com bietet BitDefender nun eine neue Ressource, die auch den neuen Schädling bekämpfen kann.