Sicherheit
Conficker kein Aprilscherz
von
Charles
Glimm - 30.03.2009
Foto: Sophos
Die neueste Variante des Conficker- oder Downadup-Wurms wird am 1. April 2009 aktiv. Handelt es sich also um den größten Aprilscherz der Geschichte oder wird es für Betroffene eher nichts zu lachen geben?
Die jüngste Variante des als "Downadup" oder "Conficker" bekannten Computerwurms, Conficker.C, enthält als Aktivierungsdatum den 1. April. An diesem Stichtag wird der Wurm auf allen infizierten Rechnern anfangen, das Internet nach einem "Update" abzusuchen, das ihn mit dem nötigen Schadcode ausrüsten wird, damit er seinen eigentlichen Zweck erfüllen kann.
Worin seine Aufgabe letztlich besteht, darüber können auch Experten bisher nur spekulieren. Denkbar ist eine großangelegte Denial-of-Service-Attacke, massenhafter Diebstahl von vertraulichen Daten, der Aufbau eines Botnetzes, das dann zu derartigen Zwecken vermietet werden kann — oder auch ein monsterhafter Aprilscherz. Allerdings sind sich Sicherheitsprofis weltweit einig, dass mit letzterem, ungeachtet des "passenden" Datums, wohl nicht zu rechnen ist.
Seriösen Schätzungen zufolge lauert die jüngste Variante des Wurms auf 3 bis 4 Millionen Rechnern weltweit. Würden diese am Stichtag alle zu Zombies, käme damit das größte Botnet zusammen, das die Welt je gesehen hat. Schon aufgrund des kommerziellen Potenzials eines solchen Schadnetzes geht die Wahrscheinlichkeit der Aprilscherztheorie gegen null.
Was genau passiert nun auf befallenen Computern am Stichtag?
Worin seine Aufgabe letztlich besteht, darüber können auch Experten bisher nur spekulieren. Denkbar ist eine großangelegte Denial-of-Service-Attacke, massenhafter Diebstahl von vertraulichen Daten, der Aufbau eines Botnetzes, das dann zu derartigen Zwecken vermietet werden kann — oder auch ein monsterhafter Aprilscherz. Allerdings sind sich Sicherheitsprofis weltweit einig, dass mit letzterem, ungeachtet des "passenden" Datums, wohl nicht zu rechnen ist.
Seriösen Schätzungen zufolge lauert die jüngste Variante des Wurms auf 3 bis 4 Millionen Rechnern weltweit. Würden diese am Stichtag alle zu Zombies, käme damit das größte Botnet zusammen, das die Welt je gesehen hat. Schon aufgrund des kommerziellen Potenzials eines solchen Schadnetzes geht die Wahrscheinlichkeit der Aprilscherztheorie gegen null.
Was genau passiert nun auf befallenen Computern am Stichtag?
Der Wurm wird nach einem Algorithmus bis zu 50.000 gültige Internet-Adressen generieren. 500 dieser Adressen fragt er anschließend ab, um nach seinem Schadcode-Update zu suchen. Wird er nicht fündig, wiederholt er die Aktion am nächsten Tag mit 500 weiteren Adressen. Die Wurm-Programmierer müssen theoretisch nur eine einzige der für den Algorithmus generierbaren Adressen registrieren und dort ihren Schadcode zum Download bereitstellen, um so nach und nach alle infizierten Rechner "nachzurüsten".
Worin der Zweck des Wurmnetzes bestehen wird, bleibt auf jeden Fall bis zum 1. April noch ihr Geheimnis.
Worin der Zweck des Wurmnetzes bestehen wird, bleibt auf jeden Fall bis zum 1. April noch ihr Geheimnis.
