Interview mit Schweizer Virenjäger zu Conficker

Zurzeit breitet sich der Wurm Conficker/Downadup rasant aus und gibt Viren-Experten Rätsel auf (Computerworld berichtete). Im Interview gibt Candid Wüest, Security Response Engineer bei Symantec, Auskunft darüber, was der Wurm macht, von wem er stammen könnte und was er bezweckt.

Computerworld: Symantec hat neben F-Secure die Verbreitung des Wurms Conficker/Downadup im Auge. Wieviele Systeme sind bereits weltweit befallen?

Candid Wüest: Mehr als vier Millionen. Leider ist die Zahl nicht genau zu beziffern, da es sicherlich Infektionen gibt, welche mehrere IP-Adressen haben. Hierzu zählen etwa ADSL-Kunden, die sich über DHCP ins Internet begeben. Vier Millionen scheint deshalb eine konservative Schätzung zu sein.

Gibt es Zahlen für die Schweiz? Sind hiesige Rechner weniger betroffen?

Ich habe leider keine Zahlen direkt für die Schweiz. Wir wissen allerdings, dass der Wurm hauptsächlich in China und Fernost sowie in Südamerika besonders viele Systeme befallen hat.

Warum sind die Zahlen der befallenen Systeme, die F-Secure herausgibt, doppelt bis dreimal so hoch wie diejenigen von Ihnen?

Kurz gefasst verwendet F-Secure noch einen Multiplikator pro gezählte IP-Adresse, den sogenannten Infektionszähler q. Wir erachten dies als etwas zu optimistisch und verwenden eine Mischung aus IP- und Browser-String zur Identifikation von einzelnen Opfern. Deshalb der grosse Unterschied.

Wer steckt hinter dem Wurm? Gibt es bereits Anhaltspunkte zu den Urhebern der Wurmattacke?

Wir vermuten eine gut organisierte Gruppe, welche bereits früher Adware verteilt hat und in jüngerer Zeit auch für die Verteilung von gefälschten Antiviren-Programmen verantwortlich ist.

Was bezwecken die Conficker-Programmierer?

Das ist die grosse offene Frage. Wir vermuten, dass irgendwann ein Payload auf den Systemen installiert werden wird. Ob es sich dabei dann um einen Spam-Proxy, einen Keylogger oder um Adware handelt, kann man noch nicht sagen. Es ist aber zu vermuten, dass die Angreifer dies nicht einfach aus Spass machen, sondern einen Profit erwirtschaften wollen.

Wie breitet sich der Wurm eigentlich aus?

Der Wurm hat drei Hauptverbreitungswege: Erstens nutzt er die Windows-Schwachstelle aus, wie sie Microsoft unter MS08-067 beschrieben und gepatcht hat. Dies passiert aus dem Netzwerk ohne Benutzerinteraktion. Daneben kopiert sich der Wurm auf USB-Wechselmedien und erstellt zusätzlich eine Autostart-Datei. Wenn diese USB-Sticks dann auf anderen Systemen benutzt werden, kann sich der Wurm dort auch einnisten. Drittens probiert der Wurm eine Liste von Passwörtern durch, um sich auf Netzwerkfreigaben zu kopieren. Die Liste der Passwörter ist bekannt und online einzusehen.

Was macht der Wurm genau, wenn er ein System befallen hat?

Zum einen nistet er sich als Service ein und modifiziert ein paar Netzwerkeinstellungen, damit er sich schneller verbreiten kann. Als nächstes stoppt er die Windows-Update-Prozesse. Danach erfragt er seine externe IP und das aktuelle Datum durch externe Webseiten. Hierauf erstellt er einen lokalen Webserver und ändert die Firewall-Regeln entsprechend.

Hat er sich einmal so etabliert, versucht er sich weiter zu verbreiten, und zwar so, wie ich es vorhin geschildert habe. Zudem patcht er gewisse Systemfunktionen, um sich zu verbergen und das Entfernen zu erschweren. Danach kann er gewählte Dateien nachladen und ausführen. Schliesslich blockiert er den Zugriff zu vielen Security-Seiten und Antiviren-Update-Diensten.

Basierend auf dem aktuellen Datum werden hernach Domainnamen generiert und dann abgefragt - also jeden Tag neue Domains. Dies ermöglicht dem Angreifer, eine bestimmten Domain zu registrieren und dann über diese neuen Schadcode herunterladen zu lassen. Einige der Domains, die der Wurm beispielsweise hat registrieren lassen, lauten aaidhe.net, aamkn.cn, abivbwbea.info oder aiiflkgcw.cc.

Generell wird heute davon ausgegangen, dass Hacker Malware schreiben, um ganz gezielt und unauffällig Systeme auszuspionieren.Wie erklären Sie sich vor diesem Hintergrund diese regelrechte Wurmepidemie?

Diese Epedemie ist nicht ganz unnatürlich. Ohne die Medienberichterstattung wäre die Ausbreitung wahrscheinlich schon sehr unauffällig gewesen. Das Ziel war wahrscheinlich, möglichst viele Maschinen zu kontrollieren, wie in einem Bot-Netzwerk. Da aber der eigentliche Payload noch unbekannt ist, ist es natürlich auch schwer zu sagen, ob die gewählte Methode clever war oder nicht.

Warum kann sich der Wurm derart ausbreiten, obwohl Microsoft bereits im letzten Jahr einen Patch veröffentlicht hat, der die Schwachstelle, die der Wurm ausnützt, schliesst?

Es ist leider so, dass Patches nicht immer gleich sofort eingespielt werden. Dies kann verschiedene Gründe haben, bei einigen Firmen müssen die Flicken zuerst auf Kompatibilität mit anderen Tools überprüft werden. Andere Firmen haben vielleicht einfach das Patchen versäumt. Dass dies in einem solchen Ausmass geschieht, kam aber schon länger nicht mehr vor.

Ich nehme an, dass die Antivirenhersteller, den Wurm jetzt eigentlich erkennen müssten? Warum breitet er sich dennoch weiter aus?

Meines Wissens erkennen nun alle gängigen Antiviren-Produkte diesen Wurm. Allerdings sind nicht alle Produkte immer in der Lage, ein bereits infiziertes System auch wieder zu säubern. Dies vor allem, da der Wurm sich zum Teil auch Rootkit-Methoden bedient, um ein Entfernen schwer zu machen. Darüber hinaus ist die Frage, wieso er sich trotzdem weiter ausbreiten kann, ähnlich zu beantworten, wie die Frage, warum die Systeme nicht gepacht sind.

Schätzungen von Symatec zur Infektionsrate Erklärung zur unterschiedlichen Zählweise von F-Secure und Symantec Blog zur Funktionsweise und zu den Urhebern von Conficker Liste der Passwörter, die Conficker zwecks Infektion durchprobiert