Conficker-Wurm schlägt mit neuer Variante zurück

Der Wurm Conficker / Downadup schaffte es in Millionenhöhe auf Millionen von PCs weltweit zu gleiten, aber nachdem er anfänglich einen Computer infiziert hatte, hat er nur dazu beigetragen, sich zu verbreiten und hat keinen weiteren Schaden angerichtet. Bis jetzt.

Symantec meldet heute, dass es eine neue Variante des virulenten Wurms gefunden hat, die Antivirensoftware oder Sicherheitsanalyse-Tools erkennt, die auf dem infizierten PC laufen, und versucht, diese Programme herunterzufahren. Dies ist ein starkes Signal dafür, dass die mysteriösen Schöpfer des Wurms ihre Schöpfung angesichts der weltweiten Aufmerksamkeit nicht aufgegeben haben, wie einige in der Industrie theoretisiert haben, aber möglicherweise noch Pläne haben, sich von ihrer Arbeit zu verabschieden.

Vincent Weafer, Vizepräsident Symantec Security Response sagt, das Unternehmen habe die neue Variante nur als ein Update gesehen, das an einen bestehenden Wurm auf einem Honeypot gesendet wurde (ein Computer, der absichtlich infiziert bleibt, um nach Updates und Änderungen zu sehen). Symantec hat diese Funktionalität noch nicht in einer neuen Wurmvariante gesehen, die sich selbst verbreiten kann, sagt Weafer, aber das könnte kommen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Zusätzlich Zum Schutz vor Sicherheitssoftware, einer gängigen Taktik für Malware, erweitert die neue Funktionalität auch die Domänenlisten, die Conficker täglich auf Updates von 250 bis 50.000 überprüft. Dies ist ein klarer Versuch, einer Industriekoalition entgegenzutreten, die versucht, den Zugang zu diesen Domänen jeden Tag zu blockieren.

Diese Koalition ist größtenteils erfolgreich, sagt Weafer, aber während die Fähigkeit des Wurms, eine Domain für ein Update zu erreichen, viel geringer ist, ist es nicht Null. Und wenn ein infizierter PC in einem Netzwerk sich durchschleichen kann, um dieses Update zu erhalten, kann es es möglicherweise auf andere bereits infizierte PCs mit einer Peer-to-Peer-Fähigkeit verbreiten. Weafer schätzt die aktuellen Infektionen auf Hunderttausende, verglichen mit Millionen nach einer weltweiten Säuberungsaktion.

Laut Weafer ist Symantec noch dabei, den neuen Code zu untersuchen, und könnte auch noch andere neue Tricks finden neue Variante.

Um sich vor dem Conficker-Wurm zu schützen, stellen Sie zunächst sicher, dass Sie den Patch installiert haben, der eine gezielte Lücke im Microsoft Server-Dienst schließt. Als nächstes schützen Sie Netzwerkfreigaben und Administratorkonten mit einem starken Passwort, da Conficker versuchen wird, einfache zu erraten.

Schließlich können Sie die dritte Infektion des Wurms, die USB-Sticks und andere entfernbare Medien entführt, durch Deaktivieren von Autorun unter Windows blockieren. PC World hat einen Download zur Verfügung, der diesen Schritt für Windows XP-Benutzer automatisieren kann, und Microsoft hat manuelle Anweisungen veröffentlicht. Überprüfen Sie meinen ursprünglichen Conficker Post für weitere Informationen, wie es verbreitet.