Conficker-Gruppe sagt Wurm 4,6 Millionen stark

Sicherheitsexperten sagen, dass der Conficker-Wurm infiziert ist eine Menge Computer, die es zum größten "Botnet" gehackter Computer auf dem Planeten machen. Die Sache, über die sie sich jedoch nicht einigen können, ist genau, wie viele Menschen getroffen wurden.

Die Gruppe von Forschern, die den Wurm am genauesten verfolgt und bekämpft hat, hat jetzt eine eigene Schätzung veröffentlicht Confickers Größe. Nach Angaben der Conficker Working Group wurde Conficker an knapp 4,6 Millionen eindeutigen IP-Adressen gefunden. Die älteren A- und B-Varianten machen den Löwenanteil davon aus - 3,4 Millionen IP-Adressen - mit der neueren C-Variante mit 1,2 Millionen Adressen.

Die Länder mit der höchsten Anzahl von Infektionen für alle Varianten sind China, Brasilien und Russland.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Conficker infiziert seit Oktober Windows-Computer, aber in den letzten Wochen hat es als neuere Version von Der Wurm Conficker.C hat die Art und Weise, wie er nach Anweisungen sucht, auf den neuesten Stand gebracht, wodurch es viel schwieriger wird, ihn zu stoppen.

Am vergangenen Wochenende infizierte Conficker fast 800 PCs am Health Sciences Center der University of Utah. IT-Mitarbeiter denken, dass es über einen infizierten USB-Stick ins Netzwerk gelangt sein könnte. Einmal auf einem PC installiert, ist Conficker sehr effektiv bei der Suche nach anderen ungepatchten Windows-Rechnern.

Benutzer, die sich vom Wurm infiziert fühlen, können diesen einfachen, von SecureWorks entwickelten Test ausprobieren.

Zwei Studien Vor einigen Wochen hatten OpenDNS und die IBM Internet Security Systems-Gruppe vorgeschlagen, dass bis zu 4 Prozent der PCs mit dem Conficker-Wurm infiziert wurden, aber die Analyse der Arbeitsgruppe deutet darauf hin, dass die Anzahl wahrscheinlich niedriger ist.

"Wir hoffen Die Veröffentlichung dieser Zahlen wird ein wenig Realität in die Gleichung mit einbeziehen ", sagte Andre DiMino, Mitbegründer der The Shadowserver Foundation und Mitglied der Arbeitsgruppe. Er glaubt nicht, dass 4 Prozent der PCs infiziert waren. "Es ist schwierig, im Moment dafür zu argumentieren", sagte er.

Aber die tatsächliche Anzahl der Infektionen könnte höher oder niedriger als 4,6 Millionen sein, gab DiMino zu. Da die Methode der Arbeitsgruppe IP-Adressen zählt, haben sie möglicherweise überzählige Benutzer, die sich von mehreren IP-Adressen anmelden, oder zu niedrig eingestufte Firmeninfektionen, die oft hinter einer einzigen IP-Adresse verborgen sind.

OpenDNS, IBM und die Arbeitsgruppe all verwendeten unterschiedliche Techniken, um zu ihren Schätzungen zu gelangen, aber sie alle verlassen sich auf die Tatsache, dass infizierte Maschinen sich mit einem "Befehls- und Kontrollserver" für Anweisungen einchecken müssen. Die Arbeitsgruppe erhielt ihre Daten, indem sie an Orten im Internet, die von infizierten Maschinen zum Herunterladen von Anweisungen genutzt wurden, "Sinkhole" -Server einrichtete. Sie haben dies getan, indem sie die Internet-Domänen übernommen haben, die Conficker besuchen soll, um nach diesen Anweisungen zu suchen.

Die Anzahl der von der Arbeitsgruppe gemessenen Infektionen stimmt mit ihren Schätzungen früherer Varianten des Wurms überein, sagte DiMino. "Nicht alle As und Bs wurden zu Cs", sagte er.

Um die Sache noch weiter zu komplizieren, wurde letzte Woche eine neue Variante von Conficker entdeckt, die hauptsächlich mit Peer-to-Peer-Techniken kommuniziert sind nicht leicht von den Sinkhole-Servern der Arbeitsgruppe zu messen. Das bedeutet, dass die Gruppe wahrscheinlich eine neue Art der Infektionszählung entwickeln muss, da sich die Peer-to-Peer-Variante ausbreitet.

Auch wenn sich die Daten der Arbeitsgruppe auf den ersten Blick deutlich von denen der IBM unterscheiden Laut Holly Stewart, einer Threat-Response-Managerin von IBMs Internet Security Systems (ISS), ist das keine Überraschung. Es sei "wirklich schwer", die Größe des Botnetzes zu bestimmen, sagte sie. "Ich glaube nicht, dass jemand eine perfekte Antwort hat", sagte sie. "Sie haben einen Datenpunkt und wir haben einen anderen Datenpunkt."

"Wenn Sie mich fragen, was die wahre Zahl ist", fügte sie hinzu, "wissen wir nicht."