Conficker-Wurm bekommt einen bösen Zwilling

Die Verbrecher hinter dem weitverbreiteten Conficker-Wurm haben eine neue Version der Malware veröffentlicht, die eine wesentliche Veränderung in der Funktionsweise des Wurms bedeuten könnte.

Die neue Variante namens Conficker B ++ wurde vor drei Tagen von Forschern von SRI International entdeckt, die Details des neuen Codes veröffentlicht haben Donnerstag. Für den ungeübten Blick sieht die neue Variante fast identisch mit der früheren Version des Wurms, Conficker B. Aber die B ++ - Variante nutzt neue Techniken zum Herunterladen von Software, um den Machern mehr Möglichkeiten zu geben, was sie mit infizierten Maschinen machen können.

Conficker-infizierte Maschinen könnten für widerliche Dinge verwendet werden - Spam senden, Tastatureingaben protokollieren oder DoS-Angriffe (Denial of Service) starten, aber eine Ad-Hoc-Gruppe, die sich Conficker Cabal nennt, hat dies weitgehend verhindert. Sie haben Conficker unter Kontrolle gehalten, indem sie den Algorithmus knacken, mit dem die Software einen von Tausenden von Rendezvous-Punkten im Internet findet, wo sie nach neuem Code suchen kann. Diese Rendezvous-Punkte verwenden eindeutige Domainnamen wie pwulrrog.org, an denen sich die Conficker Cabal schwer gemacht hat, um sich zu registrieren und den Kriminellen fernzubleiben.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die neue B ++ - Variante verwendet denselben Algorithmus, um nach Rendezvous-Punkten zu suchen, aber sie gibt den Erschaffern auch zwei neue Techniken, die sie ganz überspringen. Das bedeutet, dass die erfolgreichste Technik der Cabal umgangen werden konnte.

Conficker wurde im Dezember, als die B-Variante veröffentlicht wurde, einer grundlegenden Überarbeitung unterzogen. Laut Phil Porras, einem Programmdirektor von SRI, enthält diese neueste B ++ - Version subtilere Änderungen. "Dies ist eine mehr chirurgische Reihe von Änderungen, die sie vorgenommen haben", sagte er.

Um die Dinge in die richtige Perspektive zu bringen: Es gab 297 Unterprogramme in Conficker B; In B ++ wurden 39 neue Routinen hinzugefügt und drei existierende Subroutinen wurden modifiziert, SRI schrieb in einem Bericht über die neue Variante. B ++ schlägt vor, dass "die Malware-Autoren vielleicht nach neuen Wegen suchen, um die Notwendigkeit von Internet-Rendezvous-Punkten gänzlich zu umgehen", heißt es im Bericht.

Porras konnte nicht sagen, wie lange Conficker B ++ im Umlauf war, aber es erschien am 6. Februar, nach einem Forscher mit dem Pseudonym Jart Armin, der auf der Website Hosteploit.com, die Conficker verfolgt hat arbeitet.

Obwohl er nicht weiß, ob B ++ als Reaktion auf die Arbeit der Cabal geschaffen wurde, "macht es die Botnet ist robuster und es mindert einige der Arbeiten der Cabal ", sagte Support-CEO Rick Wesson in einem E-Mail-Interview.

Auch bekannt als Downadup verbreitet sich Conficker mit einer Vielzahl von Techniken. Es nutzt einen gefährlichen Windows-Bug aus, um Computer in einem lokalen Netzwerk anzugreifen, und es kann sich auch über USB-Geräte wie Kameras oder Speichergeräte verbreiten. Alle Varianten von Conficker haben laut SRI nun ca. 10,5 Millionen Computer infiziert.