20.01.2009, 11:55 Uhr
Rätselraten um Conficker-Wurm
Nach Angaben eines Antivirusherstellers sollen bereits mehr als neun Millionen Rechner weltweit mit dem Conficker-Wurm infiziert sein. Einige Kritiker melden Zweifel an diesen Zahlen an, andere unterstützen die Schätzung.
Über die Verbreitung und Gefährlichkeit des Conficker-Wurms streiten sich die Security-Geister.
Bereits vor dem Wochenende haben Malware-Forscher des finnischen Antivirushersteller F-Secure ihre Schätzungen der Zahl mit dem Conficker-Wurm infizierten Rechner auf knapp neun Millionen erhöht. Wenn die Annahme richtig ist, dass pro Tag eine Million Rechner hinzu kommen, müssten es inzwischen noch weit mehr sein. Weil einige Kritiker diese Zahlen als weit übertrieben bezeichnet haben, hat F-Secure seine Zählmethoden erläutert. Andere Antivirushersteller kommen auch auf mehrere Millionen verseuchter Rechner.
Im F-Secure Weblog erklärt Toni Koivunen, wie er auf die hohe Anzahl infizierter Computer kommt. Der als "Conficker" oder auch "Downadup" bekannte Schädling enthält einen Algorithmus, der täglich 250 neue Domain-Namen generiert. Er fragt diese Domains ab, um Updates und neue Anweisungen zu erhalten. Antivirusfirmen wie F-Secure und Symantec haben den Wurm analysiert und einige der Domains vorab registriert. Sie überwachen und zählen die Anfragen infizierter Rechner an die vermeintlichen Update-Server. Mit Hilfe weiterer Kenntnisse über die Eigenarten des Schädlings berechnen sie dann die Zahl infizierter Systeme.
Symantec ist auf diesem Wege auf etwa drei bis vier Millionen Infektionen gekommen. Dort hängt man die Zahlen etwas niedriger, weil der Wurm-eigene Mechanismus zum Melden einer erfolgreichen Infektion auch dann greift, wenn der Schädling zwar über die Windows-Lücke in einen PC eindringen kann, dann aber ein Antivirusprogramm die eingeschleuste EXE-Datei erkennt und beseitigt, bevor Schaden entsteht.
Roel Schouwenberg von Kaspersky Labs verteidigt die hohen Schätzungen von F-Secure und meint, die Zahlen seien sogar eher noch zu niedrig. Sie basierten lediglich auf den Infektionen, die durch Ausnutzen der Windows-Sicherheitslücke MS08-067 erfolgt seien. Der Wurm breite sich jedoch auch über Netzwerkfreigaben mit schwachen Passwörtern sowie über Wechselmedien wie USB-Sticks aus. Symantec hat vor allem in Argentinien und Chile rasante Zuwächse beobachtet und führt diese zum Teil auf Infektionen zurück, die über Freigaben erfolgreich sind.
Paul Royal vom Sicherheitsunternehmen Damballa hält solche Schätzung für übertrieben. Er meint, es dürften eher 500'000 bis eine Million sein. Aber auch das ergäbe ein Botnet gigantischen Ausmasses. Wie Paul Roval ferner berichtet, habe man noch nicht beobachtet, dass die verseuchten Computer zum Versenden von Spam-Mails missbraucht würden. Vielmehr würden auf den Rechnern betrügerische Antivirusprogramme installiert, um dafür die Provisionen einzustreichen.
Microsoft hatte bereits im Oktober ein Sicherheits-Update gegen die von dem Wurm genutzte Schwachstelle bereit gestellt. Das Sicherheitsunternehmen Qualys schätzt, dass dieses Update auf etwa 30 Prozent der Windows-PCs immer noch nicht installiert ist. Somit wäre etwa jeder dritte PC weiterhin anfällig für die Angriffe dieses Wurms.
