Conficker, die Nr. 1 Bedrohung des Internets, erhält ein Update

Sicherheitsforscher sagen, ein Wurm, der Millionen von Computern weltweit infiziert hat, wurde umprogrammiert, um seine Abwehrkräfte zu stärken und gleichzeitig mehr Maschinen anzugreifen.

Conficker, der davon profitiert Eine Sicherheitslücke in der Microsoft-Software hat mindestens 3 Millionen PCs und möglicherweise bis zu 12 Millionen infiziert, was es zu einem riesigen Botnet und zu einem der größten Computersicherheitsprobleme der letzten Jahre gemacht hat.

Botnetze können zum Senden von Spam verwendet werden und andere Websites angreifen, aber sie müssen in der Lage sein, neue Anweisungen zu erhalten. Conficker kann dies auf zwei Arten tun: Er kann entweder versuchen, eine Website zu besuchen und Anweisungen entgegenzunehmen, oder er kann eine Datei über sein benutzerdefiniertes verschlüsseltes P-to-P-Netzwerk (Peer-to-Peer) empfangen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Forscher von Websense und Trend Micro haben in den letzten Tagen erfahren, dass einige mit Conficker infizierte PCs eine Binärdatei über P-to-P erhalten haben. Confickers Controller seien durch die Bemühungen der Sicherheits-Community behindert worden, Wegbeschreibungen über eine Website zu erhalten, so dass sie jetzt die P-to-P-Funktion nutzen, sagte Rik Ferguson, leitender Sicherheitsberater des Anbieters Trend Micro.

Der neue binary teilt Conficker mit, nach anderen Computern zu suchen, die die Microsoft Schwachstelle nicht gepatcht haben, sagte Ferguson. Ein vorhergehendes Update hat diese Fähigkeit ausgeschaltet, was andeutete, dass die Controller von Conficker vielleicht dachten, das Botnetz sei zu groß geworden.

Aber jetzt, "zeigt es, dass sie [Confickers Autoren] versuchen, mehr Maschinen zu steuern", sagte Ferguson > Das neue Update weist Conficker außerdem an, sich an MySpace.com, MSN.com, Ebay.com, CNN.com und AOL.com zu wenden, um zu bestätigen, dass der infizierte Computer mit dem Internet verbunden ist, sagte Ferguson. Es blockiert auch infizierte PCs vom Besuch einiger Websites. Frühere Conficker-Versionen ließen die Leute nicht zu den Websites von Sicherheitsfirmen navigieren.

Eine weitere Wendung: Die Binärdatei scheint so programmiert zu sein, dass sie am 3. Mai nicht mehr läuft, sagt er.

Es ist nicht das erste Mal, dass Conficker mit zeitbasierten Anweisungen codiert wurde. Computersicherheitsexperten waren am 1. April auf eine Katastrophe vorbereitet, als Conficker 500 von etwa 50.000 zufälligen Websites, die durch einen internen Algorithmus generiert wurden, besuchen sollte, um neue Anweisungen zu erhalten, aber der Tag verging ohne Zwischenfälle.

Auch beunruhigend ist, dass das neue Update Conficker anweist, eine Domäne zu kontaktieren, von der bekannt ist, dass sie mit einem anderen Botnet namens Waledec verbunden ist, sagte Ferguson. Das Waledec-Botnetz wuchs auf ähnliche Weise wie der Storm-Wurm, ein weiteres großes Botnet, das jetzt verblasst ist, aber zum Senden von Spam verwendet wurde. Das würde bedeuten, dass vielleicht die gleiche Gruppe mit allen drei Botnets in Verbindung gebracht werden könnte, sagte Ferguson.

Obwohl Conficker anscheinend noch nicht für bösartige Zwecke verwendet wurde, bleibt es eine Bedrohung, sagte Carl Leonard, eine Bedrohungsstudie Manager für Websense in Europa. Die P-to-P-Funktionalität weist auf einen hohen Grad an Raffiniert hin, sagte er.

"Es ist offensichtlich, dass sie sich sehr viel Mühe gegeben haben, diese Maschinengruppe zu sammeln", sagte Leonard. "Sie möchten ihre Umgebung schützen und diese Updates so starten, dass sie sie am besten nutzen können."

Nicht alle mit Conficker infizierten Computer werden notwendigerweise schnell aktualisiert. Um die P-to-P-Aktualisierungsfunktion verwenden zu können, muss ein mit Conficker infizierter PC nach anderen infizierten PCs suchen, ein Prozess, der nicht unmittelbar ist, Ferguson.

Vorausgesetzt, Sicherheitsexperten unterscheiden sich erheblich von der Anzahl infizierter Computer Conficker, es ist schwer zu sagen, welcher Prozentsatz das neue Update hat.

Trend Micro und Websense warnen beide vorläufig, da das binäre Update noch analysiert wird.

Obwohl Microsoft im letzten Oktober einen Notfall-Software-Patch herausgegeben hat, Conficker hat weiterhin die PCs ausgenutzt, die nicht gepatcht wurden. Tatsächlich werden einige Varianten des Confickers die Sicherheitslücke tatsächlich nach der Infektion des Rechners patchen, so dass keine andere Malware davon profitieren kann.