Kein Streich: Am 1. April ist ‘Conficker-Tag’
Dem Schädling den Schrecken nehmen
Abgelegt unter: Sicherheit
Weltweit warnen Sicherheitsexperten vor der neuen Bedrohung durch einen alten Bekannten. Am 1. April wird eine weitere Angriffswelle der jüngst entdeckten neuen Variante des Computerschädlings “Conficker” bzw. “W32.Downadup.C” erwartet.
Angesichts der ernsthaften Warnungen aus den durchweg seriösen Quellen verschiedener Sicherheitsunternehmen, muss davon ausgegangen werden, dass es sich NICHT um den Versuch handelt, einen Aprilscherz zu landen.
Im Oktober des vergangenen Jahre informierte Microsoft alle Kunden im Rahmen der Ankündigung eines außerordentlichen Sicherheitsupdates über eine extrem gefährliche Lücke in den Windows-Betriebssystemen (Link).
Nur kurze Zeit nachdem das Update MS08-067 gegen die Schwachstelle freigegeben worden war, tauchten die ersten Schädlinge im Internet auf, die den von Microsoft als kritisch beschriebenen Fehler im Serverdienst von Windows auszunutzen versuchten. Diese konnten aber dank der schnellen Reaktion aus Redmond sowie der von den Herstellern von Antivirenlösungen umgehend angepassten Signaturdatenbanken nur relativ wenig Schaden anrichten.
Der teilweise recht laxe Umgang mit den regelmäßigen aus Redmond angebotenen Sicherheitsupdates sorgte dafür, dass überall auf der Welt auch zahlreiche große Netzwerke von Behörden, Schulen und Gesundheitscentren durch Conficker lahm gelegt wurden.
Über die Anzahl der tatsächlich befallenen Systeme gibt es keine konkreten Daten. Schätzungen sprechen von einigen hunderttausend bis hin zu der monströsen Summe von 50 Millionen Rechnern.
Conficker wütet weiter
Nach fast einem halben Jahr in freier Wildbahn, ist es noch immer nicht zuverlässig gelungen, die Schadsoftware auszuschalten.
Das liegt einerseits an den zahllosen noch immer infizierten Systemen, die für weitere Verbreitung des Wurms sorgen. Darüber hinaus scheibt die kriminelle Energie der Urheber des Schädlings für neuen und aggressiveren Nachschub des Conficker-Wurms zu sorgen.
Aktivitäten des Wurms
Bislang zeigt Conficker keine fassbare Schadfunktion. Seine Aufgabe scheint derzeit lediglich in der Vermehrung durch das Infizieren weiterer Rechner zu bestehen. Dies kann in größeren Netzwerken zu Überlastungen führen, die schließlich in Arbeitsunterbrechungen gipfeln.
Der heimtückische Unhold ist in der Lage, das Windows-Update abzuschalten und entfernt alle vorhandenen Systemwiederherstellungspunkte. Darüber hinaus sabotiert der Schädling den Zugriff auf alle Internet-Domains, in denen Namensteile wie AVG, Avira, Microsoft, McAfee oder Symantec vorkommen und boykottiert auf diesem Weg das Herunterladen von Updates für die Signaturdatenbank der Schutzprogramme.
Die neue Schädlings-Variante soll sich noch schwerer als bisher aus einem verseuchten System entfernen lassen. Im Gegensatz zu älteren Versionen, kann sich der neue Unhold besser in einem System verbergen und ist deshalb schwerer aufzuspüren.
Während die ursprüngliche Version der Wurmsoftware im Tagesverlauf versuchte etwa 250 bereits infizierte Domains systematisch “abzufragen”, soll Conficker.C in der Lage sein, mehr als 50.000 Domains zu “überprüfen”.
Kein Aprilscherz
Wie aus Expertenkreisen verlautbart, soll pünktlich am 1. April die nächste Welle der Schadsoftware ihre Tätigkeit aufnehmen.
Was jedoch mit der “Inbetriebnahme” tatsächlich passieren wird, darüber sind sich die Sicherheitsspezialisten nicht im Klaren. So ist im Weblog der New York Times (externer Link) zu lesen, dass Sicherheits-Experten jede Möglichkeit für denkbar halten: Vom April-Scherz bis zum Endzeit-Szenario.
Und während Forscher immer noch dabei sind, Conficker zu analysieren (externer Link), geht das Kopfzerbrechen über die Absichten der Wurm-Urheber weiter. Als Zweck vermuten Experten die Verbindung der infizierten Rechner zu einem weltweiten Computernetzwerk. Dieses von seinen Besitzern ferngesteuerte sogenannte Botnetz (Link) könnte kriminellen Aktionen wie beispielsweise dem Versand von Spam oder zum Angriff auf andere Rechnernetze verwendet werden.
Andere Experten gehen von der These aus, dass einfach alle Computer nach sensiblen Daten durchsucht werden, um diese dann zu verkaufen.
250.000 Dollar “Kopfgeld”
Microsoft will seine Windows-Anwender vor dem Conficker-Wurm beschützen und setzt deshalb auf die Zusammenarbeit mit der Internet Corporation for Assigned Names and Numbers – kurz ICANN – (Lexikon) sowie auf die Kooperation mit den Betreibern der weltweit verstreuten DNS-Server (Lexikon).
Im Kampf gegen den sich noch immer rasant verbreitenden Conficker-Wurm wurde bereits im Februar ein Gremium gebildet, das die weitere Verbreitung des Schädlings aufhalten soll.
An der Spitze der Kommission, zu der neben Microsoft auch eine ganze Reihe bedeutsamer Unternehmen der Sicherheitsbranche sowie hochkarätige Wissenschaftler gehören, zeichnet die ICANN für die Abstimmung aller Aktionen verantwortlich.
Nach Angaben des ICANN-Chef Greg Rattray werde es in einem ersten Schritt nun darum gehen, den Schaden zu begrenzen. Die DNS-Server-Betreiber sollen deshalb zunächst Domains sperren, die von dem Wurm kontaktiert werden, um von dort Codes nachzuladen.
Der Redmonder Software-Gigant Microsoft hat für Hinweise, die zur Verhaftung und Bestrafung der “Conficker-Verantwortlichen” führen, eine Anerkennung von 250.000 US-Dollar ausgelobt.
Da man davon ausgeht, dass die Betreiber des Netzes nicht von einem der größeren Industriestaaten aus agieren, hat Microsoft deutlich gemacht, die Belohnung in jedem Land der Welt bezahlen zu wollen. Bereits in der Vergangenheit war die Taktik der weltweiten “Kopfgelprämie” von Erfolg gekrönt. So konnten sich im Jahr 2005 zwei in Deutschland lebende Bürger über rund 210.00 Euro freuen, weil sie maßgebliche Hinweise liefern konnte, die dazu führten den Urheber der Würmer Sasser und Netsky dingfest zu machen.
Die Experten des finnischen Sicherheitsspezialisten F-Secure vermuten die Urheber des Schadprogramms in der Ukraine. Die Tatsache, dass der Wurm nach erfolgreichem Einschleusen zunächst prüft, ob eine Tastatur mit ukrainischem Layout an den Rechner angeschlossen ist, soll ein Indiz dafür sein.
Gegenmaßnahmen
Eine Reihe der Herstellern von Sicherheitslösungen bietet inzwischen eigenständige Tools zum Entfernen des Conficker-Wurms an, darunter Symantec, F-Secure, Bitdefender oder Kaspersky. Die Programme erfordern keine Installation. Sie können beispielsweise auf einen USB-Stick kopiert auf einem infizierten Rechner gestartet werden ihre Aufgaben erfüllen.
Auch die Anwender von bereits gepatchten Betriebssystemen sollten der vermeintlichen Sicherheit durch das Microsoft-Update nur bedingt trauen:
Ist es dem Schädling gelungen, in ein System einzudringen, versucht er sich im Intranet bzw. heimischen Netzwerk breit zu machen, indem er versucht, eine Verbindung mit der sogenannten auf jedem Windows-PC eingerichteten “Administrativen Freigaben” (ADMIN$-Share) aufzubauen (Lexikon). Dabei probiert die eine ganze Reihe gängiger Standardpasswörter – vor deren Verwendung immer und immer wieder gewarnt wird – wie beispielsweise “superuser”, “qwerty”, “password” usw. aus. Auf diesem Weg gelingt es dem Wurm häufig, sich auch auf Rechnern zu verbreiten, auf denen das RPC-Leck bereits verschlossen wurde.
Grundsätzlich sind alle Rechner, die den Patch MS08-067 nicht installiert haben unnötig gefährdet. Zudem besteht Gefahr für alle Rechner in einem Netz, in dem mindestens ein verseuchter Rechner steht und die als Administrator-Passwort ein Wort aus einer von Symantec veröffentlichten Liste (externer Link) verwenden.
Alle Windows-Nutzer sollten – sofern dies nicht bereits geschehen ist – unverzüglich das Sicherheitsupdate MS08-067 installieren.
Es ist eine Binsenweisheit, dass moderne Betriebssysteme stets durch eine gute Schutzsoftware mit aktuellen Signaturdatenbanken abgeschirmt sein sollten. Da die Anbieter solcher Programme immens schnell auf neue Bedrohungen mit Updates reagieren, können Angriffe häufig bereits im Keim erstickt werden.
Last but not least können Sie mit dem Abschalten der “Administrativen Freigaben” von Windows auf Nummer Sicher gehen:
Auch wenn im lokalen Netzwerk keine Ordner freigegeben sind, können Netzwerkbenutzer auf sämtliche Ordner und Dateien zugreifen. So versucht auch der neue Schädling die sogenannten “ADMIN$-Share” zu nutzen. Die Eingabe der Netzwerkadresse “\\Rechnername\C$” ermöglicht den Zugriff auf die komplette Festplatte “C:” des jeweiligen Netzrechners.
Anfänglich war diese versteckte Freigabe dazu vorgesehen, Netzwerkadministratoren in Firmennetzen die Fernwartung zu erleichtern. Allerdings stellt diese Form von Komfort ein recht großes Sicherheitsrisiko dar und sollte abgeschaltet werden. Das können Sie am einfachsten über eine Änderung in der Registrierdatenbank bewerkstelligen.
Rufen Sie den Registrierungseditor mit dem Befehl “regedit” im Eingabefeld von “Start > Ausführen” (bzw. Tastenkombination Windows-Taste+R) auf und
wandern Sie in das Verzeichnis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Klicken Sie mit der rechten Maustaste auf eine freie Stelle des rechten Fensterbereichs und wählen Sie aus dem Kontextmenü “Neu” den Eintrag “DWORD-Wert” und benennen Sie den neuen Wert den Namen “AutoShareWks”.
Erstellen Sie auf dem gleichen Weg einen weiteren Eintrag mit der Bezeichnung “AutoShareServer”. Öffnen Sie jeweils einen der neuen Einträge und weisen Sie beiden den Wert “0″ zu.
Schließen Sie den Registrierungseditor und starten Sie das System neu, nun ist das Schlupfloch endgültig versperrt.
Bekanntlich verbreitet sich Conficker auch über USB-Sticks und andere mobile Endgeräte. Aus diesem Grund sollte die Verwendung solcher Geräte mit entsprechender Umsicht erfolgen.
Conficker-Wurm leicht zu zähmen
Auch wenn die Gefahr groß ist, dass eine neue Conficker-Variante am 01. April aktiv wird, können Administratoren den Unhold über das Netzwerk identifizieren und unschädlich machen.
Die Experten des “Honeypot Project” konnten einen Fehler im Conficker-Wurm ergründen. Administratoren können mit einem speziellen Scanner alle infizierten Rechner in ihrem Netzwerk ausfindig machen, ohne den lokalen Rechner mit einer Untersuchung belasten zu müssen.
Analysen zufolge findet sich der Fehler in einem Update, das Conficker selbstständig installiert, um das von ihm genutzte Windows-Leck zu stopfen. Damit will der Wurm verhindern, dass weitere Schädlinge über diese Lücke eindringen. Bisher war es Administratoren nicht möglich, über ein Netzwerk herauszufinden, ob auf einem Rechner der Microsoft-Patch oder das von Conficker eingeschleppte Update installiert ist.
Dan Kaminsky, Direktor für Penetration Testing bei IOActive, erklärt in einem Blogeintrag (externer Link), dass das Conficker-Update tatsächlich das Verhalten von Windows in einem Netzwerk verändert. “Diese Veränderung kann man jetzt anonym, sehr, sehr schnell und aus der Ferne feststellen.”schreibt er. Wie Kaminsky weiter erklärt, arbeitet die Funktion “NetpwPatchCanonicalize” auf mit dem Conficker-Wurm infizierten Rechnern anders als auf ungepatchten oder mit dem von Microsoft-Update versehenen Systemen.
Eine Reihe von Sicherheitsanbietern, wie beispielsweise Qualys, nCircle sowie Tenable, haben gemeinsam den Scanner entwickelt und in ihre Produkte integriert. Darüber hinaus kann ein kostenloses Tool von “nMap” die von Conficker befallenen Rechner in einem Netzwerk identifizieren.
Ähnliche Beiträge:
Kommentare