Viele Computernutzer sind nicht besonders eifrig darin, die Programme auf ihrem Rechner auf dem neuesten Stand zu halten. Und genau dadurch, wegen nicht gestopfter Sicherheitslücken im Betriebssystem und wegen veralteter Antivirensoftware, fangen sie sich dann Schädlinge ein: Conficker zum Beispiel. Im Gegensatz zu den nachlässigen Anwendern schaut der Wurm geradezu vorbildlich regelmäßig im Internet nach, ob es eine aktuelle Programmversion gibt. Und dabei ist er in den vergangenen Tagen fündig geworden, berichtet Felix Leder, Computersicherheitsspezialist von der Universität Bonn:
"Inzwischen gibt es die ersten Auswertungen darüber, wo dieses Update herkommt, und es scheint eben über die Peer-to-Peer-Funktionalität, die ja auch schon vor dem 1. April aktiv war, zu kommen. Man kann sich das vorstellen wie ein ganz normaler Filesharing-Peer-to-Peer-Dienst, wo eben Nutzer Files oder Musik austauschen, und genau so eine Technologie nutzt Conficker an der Stelle, um eben Executables, also Updates herunterzuladen."
Es gibt also wieder einmal eine neue Conficker-Variante; und mittlerweile sind sich die Sicherheitsexperten in der Zählweise uneinig geworden: Die einen sprechen noch von Version "D", die anderen bereits von "E". Einig ist man sich aber in der Beurteilung: Es wird ernst; Conficker rüstet jetzt erstmals Schadfunktionen nach, und das gleich in zwei Geschmacksrichtungen:
"Die Berichte sagen, dass das jetzt ein Programm ist, das aus dem Waledac-Botnetz heruntergeladen wird und eben Waledac verwendet. Waledac gibt es auch seit Dezember 2008, also von der Neuigkeit ähnlich wie Conficker, nur eben an der Stelle auch mit Schadfunktion ausgestattet. Das heißt, der eigene infizierte Rechner wird dann auf einmal zum Spammen verwendet, da werden Spammails von dort versandt, oder man macht Angriffe gegen andere Knoten im Internet, oder es werden Bankingdaten oder Kreditkartendaten oder ähnliches ausgespäht. Es gibt Spekulationen, das sind aber reine Spekulationen, dass das Conficker-Netz jetzt quasi vermietet wurde an das Waledac-Botnetz, um eine größere Verbreitung zu erreichen."
Zum anderen installiert sich auf infizierten Rechnern ein Programm, das sich "SpywareProtect2009" nennt. Es warnt den Anwender in immer wieder aufklappenden Meldungen, sein Computer sei durch und durch mit Schadsoftware verseucht. Und für 49,95 Dollar verspricht es, die angeblich entdeckten Viren zu löschen. Anscheinend gibt es genügend Anwender, die sich von solcher sogenannten Scareware ins Bockshorn jagen lassen und die Kreditkarte zücken. Technisch machbar wären aber noch weit rabiatere Geschäftsmodelle: So könnte ein von Conficker nachgeladenes Programm ebenso gut kritische Bereiche der Festplatte verschlüsseln. Und an das Passwort und an seine Daten käme man erst wieder gegen eine Lösegeldzahlung.
Taucht wieder einmal die Frage auf: Wer steckt hinter Conficker? Theoretisch könnte man über die sogenannten IP-Adressen der Rechner, von denen Programmcode nachgeladen wird, den Hintermännern auf die Spur kommen. Felix Leder ist da sehr skeptisch:
"Die Frage ist, ob diese IP-Adressen wirklich alle echte sind oder ob das sogar absichtlich falsche Fährten sind. Und zudem gibt es auch immer wieder Betreiber, die sogenannte Bulletproof-Services anbieten, das heißt, wenn Anfragen bei diesem Provider ankommen, wer befindet sich denn jetzt hinter dieser IP-Adresse, oder wer steckt dahinter, dann werden diese Anfragen gezielt geblockt und der Betreiber kann rechtzeitig umziehen."
Und praktisch jedermann kann die Dienste solcher korrupten Internetprovider nutzen, ergänzt sein Kollege Tillmann Werner:
"Selbst wenn jemand aus Deutschland dieses Netz betreiben würde, es wäre für ihn kein Problem, in einem anderen Land ein System zu registrieren und zu diesem Zweck zu betreiben. Nicht alle Länder kooperieren da entsprechend, es gibt sogar Länder, wo diplomatische Beziehungen nicht existieren und dergleichen, so dass man in Prinzip man gar keine Handhabe da hat, also diese Leute, die die Systeme betreiben, werden gedeckt, werden geschützt, und man kommt an die nicht ran."
Felix Leder, Tillmann Werner und zahlreiche Sicherheitsexperten auf der ganzen Welt versuchen unverdrossen, dem Computerwurm mit technischen Gegenmaßnahmen das Leben schwer zu machen. Eine Idee ist zum Beispiel, den neuen Kommunikationskanal, das Peer-to-Peer-Netz, zu infiltrieren und von innen heraus lahm zu legen. Aber einstweilen erfreut sich Conficker bester Gesundheit. Und angesichts der nun aufgetauchten Schadfunktionen sollte jeder Anwender noch einmal überprüfen, ob sein Rechner infiziert ist.
"Inzwischen gibt es die ersten Auswertungen darüber, wo dieses Update herkommt, und es scheint eben über die Peer-to-Peer-Funktionalität, die ja auch schon vor dem 1. April aktiv war, zu kommen. Man kann sich das vorstellen wie ein ganz normaler Filesharing-Peer-to-Peer-Dienst, wo eben Nutzer Files oder Musik austauschen, und genau so eine Technologie nutzt Conficker an der Stelle, um eben Executables, also Updates herunterzuladen."
Es gibt also wieder einmal eine neue Conficker-Variante; und mittlerweile sind sich die Sicherheitsexperten in der Zählweise uneinig geworden: Die einen sprechen noch von Version "D", die anderen bereits von "E". Einig ist man sich aber in der Beurteilung: Es wird ernst; Conficker rüstet jetzt erstmals Schadfunktionen nach, und das gleich in zwei Geschmacksrichtungen:
"Die Berichte sagen, dass das jetzt ein Programm ist, das aus dem Waledac-Botnetz heruntergeladen wird und eben Waledac verwendet. Waledac gibt es auch seit Dezember 2008, also von der Neuigkeit ähnlich wie Conficker, nur eben an der Stelle auch mit Schadfunktion ausgestattet. Das heißt, der eigene infizierte Rechner wird dann auf einmal zum Spammen verwendet, da werden Spammails von dort versandt, oder man macht Angriffe gegen andere Knoten im Internet, oder es werden Bankingdaten oder Kreditkartendaten oder ähnliches ausgespäht. Es gibt Spekulationen, das sind aber reine Spekulationen, dass das Conficker-Netz jetzt quasi vermietet wurde an das Waledac-Botnetz, um eine größere Verbreitung zu erreichen."
Zum anderen installiert sich auf infizierten Rechnern ein Programm, das sich "SpywareProtect2009" nennt. Es warnt den Anwender in immer wieder aufklappenden Meldungen, sein Computer sei durch und durch mit Schadsoftware verseucht. Und für 49,95 Dollar verspricht es, die angeblich entdeckten Viren zu löschen. Anscheinend gibt es genügend Anwender, die sich von solcher sogenannten Scareware ins Bockshorn jagen lassen und die Kreditkarte zücken. Technisch machbar wären aber noch weit rabiatere Geschäftsmodelle: So könnte ein von Conficker nachgeladenes Programm ebenso gut kritische Bereiche der Festplatte verschlüsseln. Und an das Passwort und an seine Daten käme man erst wieder gegen eine Lösegeldzahlung.
Taucht wieder einmal die Frage auf: Wer steckt hinter Conficker? Theoretisch könnte man über die sogenannten IP-Adressen der Rechner, von denen Programmcode nachgeladen wird, den Hintermännern auf die Spur kommen. Felix Leder ist da sehr skeptisch:
"Die Frage ist, ob diese IP-Adressen wirklich alle echte sind oder ob das sogar absichtlich falsche Fährten sind. Und zudem gibt es auch immer wieder Betreiber, die sogenannte Bulletproof-Services anbieten, das heißt, wenn Anfragen bei diesem Provider ankommen, wer befindet sich denn jetzt hinter dieser IP-Adresse, oder wer steckt dahinter, dann werden diese Anfragen gezielt geblockt und der Betreiber kann rechtzeitig umziehen."
Und praktisch jedermann kann die Dienste solcher korrupten Internetprovider nutzen, ergänzt sein Kollege Tillmann Werner:
"Selbst wenn jemand aus Deutschland dieses Netz betreiben würde, es wäre für ihn kein Problem, in einem anderen Land ein System zu registrieren und zu diesem Zweck zu betreiben. Nicht alle Länder kooperieren da entsprechend, es gibt sogar Länder, wo diplomatische Beziehungen nicht existieren und dergleichen, so dass man in Prinzip man gar keine Handhabe da hat, also diese Leute, die die Systeme betreiben, werden gedeckt, werden geschützt, und man kommt an die nicht ran."
Felix Leder, Tillmann Werner und zahlreiche Sicherheitsexperten auf der ganzen Welt versuchen unverdrossen, dem Computerwurm mit technischen Gegenmaßnahmen das Leben schwer zu machen. Eine Idee ist zum Beispiel, den neuen Kommunikationskanal, das Peer-to-Peer-Netz, zu infiltrieren und von innen heraus lahm zu legen. Aber einstweilen erfreut sich Conficker bester Gesundheit. Und angesichts der nun aufgetauchten Schadfunktionen sollte jeder Anwender noch einmal überprüfen, ob sein Rechner infiziert ist.