Mit globaler Anstrengung wird eine neue Art von Wurm verlangsamt

Früher gab es große Ausbrüche von Computerwürmern, aber nichts in der Art von Conficker.

Der Wurm, der im November entdeckt wurde, hatte in den letzten Jahren schon bald mehr Computer infiziert als jeder Wurm. Mit einigen Schätzungen ist es jetzt auf mehr als 10 Millionen PCs installiert. Aber seit seiner ersten Erscheinung war es seltsam still. Conficker infiziert PCs und verbreitet sich in Netzwerken, tut aber nichts anderes. Es könnte verwendet werden, um einen massiven Cyberangriff auszulösen, der praktisch jeden Server im Internet lähmt, oder er könnte an Spammer verpachtet werden, um Milliarden von Milliarden von Spam-Nachrichten zu pumpen. Stattdessen sitzt es dort und ist ein massiver Motor der Zerstörung, der darauf wartet, dass jemand den Schlüssel dreht.

Bis vor kurzem wussten viele Sicherheitsforscher einfach nicht, worauf das Conficker-Netzwerk wartete. Am Donnerstag gab eine internationale Koalition jedoch bekannt, dass sie beispiellose Schritte unternommen habe, um den Wurm von den Command-and-Control-Servern zu trennen, die ihn kontrollieren könnten. Die Gruppe besteht aus Sicherheitsforschern, Technologieunternehmen, Domain-Namen-Registraren, die sich mit der Internet Corporation für zugewiesene Namen und Nummern (ICANN) zusammengeschlossen haben, die das Domain Name System des Internets überwacht.

[Lesen Sie weiter: Wie man Malware entfernt von Ihrem Windows PC]

Forscher hatten Confickers Code auseinander genommen und festgestellt, dass er eine heikle neue Technik verwendet, um nach neuen Anweisungen nach Hause zu telefonieren. Der Wurm generiert jeden Tag eine neue Liste von etwa 250 zufälligen Domänennamen wie zum Beispiel aklkanpbq.info. Anschließend überprüft er diese Domänen auf neue Anweisungen und verifiziert ihre kryptografische Signatur, um sicherzustellen, dass sie vom Autor von Conficker erstellt wurden.

Als der Code von Conficker zum ersten Mal geknackt wurde, schnappten Sicherheitsexperten einige dieser zufällig generierten Domänen auf Server, um Daten von gehackten Maschinen zu empfangen und zu beobachten, wie der Wurm funktioniert hat. Als die Infektion jedoch immer weiter verbreitet wurde, begannen sie, alle Domänen zu registrieren - fast 2.000 pro Woche -, um sie aus dem Verkehr zu ziehen, bevor Kriminelle einen Fehler machten. Wenn jemals die bösen Jungs versuchten, eine dieser Kommando-und-Kontroll-Domänen zu registrieren, hätten sie festgestellt, dass sie bereits von einer fiktiven Gruppe, die sich selbst die "Conficker Cabal" nannte, genommen worden waren. Seine Adresse? 1 Microsoft Way, Redmond Washington.

Dies ist ein neues Katz-und-Maus-Spiel für Forscher, aber es wurde in den letzten Monaten einige Male getestet. Im November zum Beispiel nutzte eine andere Gruppe die Technik, um die Kontrolle über Domains zu übernehmen, die von einem der weltgrößten Botnet-Netzwerke, Srizbi genannt, genutzt wurden, um es von seinen Command-and-Control-Servern zu trennen.

Mit Tausenden von Domains Diese Taktik kann jedoch zeitaufwendig und teuer werden. Mit Conficker hat die Gruppe also Namen mit einer neuen Technik namens Domänenvorregistrierung und -sperre identifiziert und gesperrt.

Durch die Aufteilung der Arbeit zur Identifizierung und Sperrung von Confickers Domänen hat die Gruppe den Wurm nur in Schach gehalten "Es war ein tödlicher Schlag", sagte Andre DiMino, Mitbegründer der "The Shadowserver Foundation", einer Cyberkriminalitäts-Überwachungsgruppe. "Dies ist wirklich die erste wichtige Anstrengung auf dieser Ebene, die das Potenzial hat, einen wesentlichen Unterschied zu machen", sagte er. "Wir würden gerne glauben, dass wir etwas bewirken konnten, das es lähmte."

Dies ist Neuland für ICANN, die für die Verwaltung des Adresssystems des Internets verantwortlich ist. In der Vergangenheit wurde der ICANN vorgeworfen, dass sie ihre Befugnis, die Akkreditierung von Domain-Namen-Registraren, die von Kriminellen häufig genutzt werden, zurückzieht, nur langsam ausnutzt. Aber dieses Mal wird es Lob für entspannende Regeln, die es schwierig machten, Domains zu sperren und die Teilnehmer der Gruppe zusammenzubringen.

"In diesem speziellen Fall schmierten sie die Räder, damit sich die Dinge schnell bewegten", sagte David Ulevitch, Gründer von OpenDNS. "Ich denke, sie sollten dafür gelobt werden … Es ist eines der ersten Male, dass ICANN wirklich etwas Positives getan hat."

Die Tatsache, dass so eine heterogene Gruppe von Organisationen zusammenarbeitet, ist bemerkenswert, sagte Rick Wesson, CEO von Network Security Consulting Support Intelligence. "Dass China und Amerika zusammenarbeiten, um eine bösartige Aktivität auf globaler Ebene zu besiegen … das ist ernst. Das ist nie passiert", sagte er.

ICANN gab keine Anrufe zurück, die einen Kommentar für diese Geschichte und viele der Teilnehmer der Conficker-Bemühungen suchten. Microsoft, Verisign und das China Internet Network Informationszentrum (CNNIC) lehnten es ab, für diesen Artikel interviewt zu werden.

Einige Teilnehmer sagen, dass sie nicht auf ihre individuellen Bemühungen hinweisen wollen, etwas zu bekämpfen, das möglicherweise organisiert ist Cyberkriminalitätsgruppe. Andere sagen, dass, weil die Anstrengung so neu ist, es noch zu früh ist, über Taktiken zu diskutieren.

Was auch immer die ganze Geschichte ist, die Einsätze sind eindeutig hoch. Conficker wurde bereits in Regierungs- und Militärnetzen entdeckt und war besonders virulent in Unternehmensnetzwerken. Ein Fehler, und die Schöpfer von Conficker konnten ihr Netzwerk neu programmieren und den Computern einen neuen Algorithmus geben, der geknackt werden musste und ihnen die Möglichkeit gab, diese Computer für schändliche Zwecke zu benutzen. "Wir müssen 100 Prozent genau sein", sagte Wesson. "Und der Kampf ist ein täglicher Kampf."

(Sumner Lemon in Singapur hat zu diesem Bericht beigetragen.)