So wie es schwarze und weiße Magie gibt, in der Rockmusik den Black und den White Metal, gelten die bösen Virenprogrammierer in der Informatikszene als Blackheads, während Menschen wie Felix Leder und Tillmann Werner die guten Whiteheads sind. Die beiden Doktoranden am Institut für Informatik IV der Universität Bonn betreiben mehrere digitale Honigtöpfe, in denen schon im letzten November Confiker kleben blieb, noch bevor er Confiker hieß. Honigtöpfe, Honeypots, sind Computer im Internet, die nur so tun, als seien sie verletzlich und angreifbar. Über ein Verfahren namens Reverse Engineering gelang es den Informatikern dann, Confiker zu verstehen, seiner Funktion auf die Schliche zu kommen. Confiker hat sich inzwischen in Millionen von PCs eingenistet und spannt damit ein so genanntes Bot-Netz auf. Tillmann Werner:
"Wie wir wissen, muss jedes Bot-Netz Kommandos von seinem Betreiber entgegennehmen können. In der Regel war es bisher so, dass diese Kommandos gefälscht werden konnten, das heißt, jemand anderes konnte das Bot-Netz übernehmen oder fernsteuern, quasi unbefugt. Bei Confiker sind diese Kommandos, auch die Updates, digital signiert, und zwar auf eine Weise, die nicht angegriffen werden kann. Diese Technik ist natürlich seit langem bekannt, und Experten haben sich gefragt, warum Malware sie nicht nutzt."
Nur die Macher von Confiker können den Virus steuern, indem sie ihn zunächst aufschließen, mit einem Geheimschlüssel. 4096 Bit RSA, das ist praktisch unknackbar. In seinen neuesten Varianten B und C bedient sich Confiker zudem einer Sicherheitstechnik namens MD6, die es noch gar nicht offiziell gibt, sondern noch in der Forschung ist. Felix Leder:
"Das heißt, diese Jungs sitzen auf jeden Fall am Zahn der Zeit, an der Quelle, kennen die Forschungen und haben ihre Hausaufgaben gemacht."
Confiker macht sich eine wunde Stelle zunutze, die sich in praktisch jedem Microsoft Betriebssystem befindet, einen so genannten Pufferüberlauf. Diese Sicherheitslücke hat Microsoft erst im letzten Oktober erkannt und veröffentlicht. Sofort stürzten sich Blackheads auf diesen wunden Punkt. Microsoft bot ein kostenloses Sicherheitsupdate an, um die Lücke zu schließen, aber Millionen von PC-Nutzern kümmerten sich nicht darum. Hier konnte sich Confiker einnisten und sein Bot-Netz aufspannen. Der Virus ist auf höchstem Niveau programmiert, er enthält zum Beispiel Fehlerabfangroutinen, damit er nicht ins Stolpern gerät. Er ist offen für alle möglichen Arten von Kommandos. Er aktualisiert sich automatisch – man kann nichts dagegen tun, ent- und verpackt sich dabei zu stets verschieden großen und damit schwer identifizierbaren Paketchen von nur wenigen Kilobyte, schreibt unsichtbare Einträge in die Registrierungsdatei von Windows. Wozu das Ganze?
"Ein Bot-Netz sind Ressourcen, Ressourcen bedeuten Macht, und in welchen kommerziellen Nutzen diese Macht umgemünzt werden kann, ist flexibel. Man kann Spam versenden, man kann aber auch das Online-Banking und dergleichen angreifen. Viel wichtiger aber ist die mittelbare Bedrohung, die von solchen Bot-Netzen ausgeht, die sich nicht gegen die einzelnen Computerbesitzer richtet, sondern gegen Firmen, Regierungsorganisationen und dergleichen, die dann mit Angriffen erpresst werden mit verteilten Angriffen aus diesen Netzen."
Der Fall ist so ernst, dass Microsoft auf die Enttarnung der Programmierer ein Kopfgeld ausgesetzt hat – 250.000 Dollar. Auch hier ist Confiker neu: Seine Macher kennt niemand. Wo sollte man suchen? Vielleicht, so eine gängige Verschwörungstheorie, in Kreisen der Anti-Viren-Industrie? Confiker belebt schließlich deren Geschäft. Tillmann Werner:
"Man kann sagen, dass die Hersteller solcher Software mit ihren kommerziellen Interessen in die Kategorie Mafia fallen. Es sind mafiöse, kriminell organisierte Strukturen. Und so ein Doppelleben würde ich keinem unterstellen, der auch in der Computer Security Szene unterwegs ist."
Wer seinen PC aktuell hält, eine Firewall aktiv hat und Anti-Viren-Software pflegt, war schon immer vor durchtriebenem Stück Code wie Confiker gefeit. Gerade Privatpersonen nehmen das nach Ansicht der beiden Bonner Informatiker leider nicht ernst genug.
"Aus unserer Sicht stellt es sich so dar, dass die Leute, die solche Schadprogramme schreiben, die niedrig hängenden Früchte pflücken, und das sind eben die PCs der Privatpersonen. Bei Banken gibt es hohe Wälle, die um die Systeme gezogen sind, da kommt man nicht so ohne weiteres durch, und wenn man’s geschafft hat, greifen auch die Gegenmaßnahmen viel schneller. Alle Banken haben heute Computernotfallteams, die sich tagtäglich nur mit solchen Vorfällen beschäftigten. Der Erfolg gibt diesen Malware-Autoren recht: Sie verdienen damit sehr viel Geld; das geht wahrscheinlich in die Millionen. Es gibt Studien, die besagen, dass da mehr Geld umgesetzt wird als am Drogenmarkt."
Das wahre Wurmgesicht - Nach dem letzten Update zeigt Conficker seine geschäftliche Mission
Michael Gessat im Gespräch mit Manfred Kloiber
Manfred Kloiber: Üblicherweise denkt man bei dem Wort "Anatomie" an Tote – doch das ist ein Irrtum und im Fall von Conficker ein ganz großer Irrtum sogar. Conficker ist schwer aktiv. In dieser Woche hat sich der Wurm neue Software nachgeladen. Michael Gessat ist ebenfalls für uns auf der Spur des Wurmes – mit welchen neuen Eigenschaften hat sich denn Conficker durch das neuerliche Update ausgestattet?
Michael Gessat: Zum einen hat der Wurm wie immer auf die Bemühungen von Sicherheitsexperten reagiert und ein paar Programmnamen und Internetseiten auf seine interne schwarze Liste gesetzt, die lassen sich dann auf befallenen Computern nicht mehr aufrufen. Da gehören zum Beispiel auch die Tools und die Webpage der beiden Bonner Experten dazu, aber die haben da auch entsprechend zurückreagiert und haben ihren Server verlagert. Aber was entscheidend ist, die neueste Conficker-Variante installiert nun zum ersten Mal etwas, was man aus der Sicht des Wurmes als "Nutzlast" bezeichnen könnte, aus der Sicht des Anwenders aber als Schadsoftware.
Kloiber: Um was handelt es sich da?
Gessat: Zum einen sind das Programmkomponenten eines anderen Computerwurms namens "Waledac". Der ist seit etwa Dezember 2008 in Umlauf und ein so genannter "multifunktionaler Spambot": Hauptsächlich nutzt er befallene Rechner, um unerwünschte Werbemails, also Spam zu versenden. "Waledac" kann aber auch E-Mailadressen, Passwörter und Bankingdaten ausspähen. Das ist also sozusagen jetzt ein "Joint Venture" unter Computer-Würmern; entweder die Conficker und Waledac-Betreiber sind identisch, oder das Conficker-Netz wurde quasi an Waledac vermietet.
Kloiber: Dann wird ja außerdem auf befallenen Rechnern noch ein Programm installiert, das sich "SpyProtect2009" nennt. Das klingt nach einem Antivirenprogramm- sorgt Conficker da freundlicherweise für seine eigene Entfernung?
Gessat: Nein, leider nicht. Bei "SpyProtect2009" handelt es sich um so genannte "Scareware". Das sind Programme, die in ständig von allein aufpoppenden Fenstern den Anwender warnen, sein PC sei mit diversen Schadprogrammen geradezu verseucht. Optisch und vom Namen her sehen diese Programme ähnlich aus wie bekannte Antivirensoftware. Und da kommt es also anscheinend recht häufig vor, dass Anwender da die Kreditkarte zücken, um die Vollversion zur Beseitigung des angeblichen Virenbefalls zu kaufen. "SpyProtect2009" soll zum Beispiel 49 Dollar 95 kosten. In Wirklichkeit beseitigen solche Programme natürlich keine Schädlinge, man holt sich im Gegenteil erst recht Unrat auf den Rechner.
Kloiber: Das hört sich aber immer noch relativ harmlos an.
Gessat: Ist es aber nicht. Denn wenn Conficker auf einem Rechner ein Scareware-Programm installieren kann, dann kann der Wurm auch ein x-beliebiges anderes Programm installieren. Zum Beispiel eines, dass die Festplatte verschlüsselt und das Passwort erst nach Lösegeldzahlung herausrückt. Oder auch nicht.
Kloiber: Ein internationales Konsortium von Sicherheitsfirmen versucht doch schon seit Monaten, Conficker einzudämmen. Wieso klappt das nicht?
Der Hauptgrund ist schlicht und ergreifend, dass immer noch allzu viele Windows-User ihre Systeme nicht überprüft, gereinigt und upgedatet haben. Dabei gibt es zum Beispiel mittlerweile Sofort-Tests auf Webseiten, zum Beispiel bei den Bonner Conficker-Experten, die braucht man nur anzusurfen, und man bekommt sofort eine Diagnose "Befallen oder Sauber". Allerdings ist Conficker auch sehr einfallsreich bei der Weiterverbreitung und beim Update: In den neueren Versionen funktioniert das jetzt über ein so genanntes Peer-to-Peer-Netz, also nach dem Prinzip der Filesharing-Tauschbörsen. So etwas ist dezentral organisiert und dadurch sehr robust.
Kloiber: Wer steckt dahinter?
Gessat: Das weiß man immer noch nicht.
Kloiber: Wie geht es weiter mit Conficker?
Gessat: Das werden wir wahrscheinlich in gut anderthalb Wochen sehen. Am 3.Mai deaktiviert sich nämlich die bis jetzt neueste Version. Und bis dahin werden die Conficker-Programmierer wohl wieder ein neues Update bereitstellen, das dann neue Schadfunktionen mitbringen könnte.
"Wie wir wissen, muss jedes Bot-Netz Kommandos von seinem Betreiber entgegennehmen können. In der Regel war es bisher so, dass diese Kommandos gefälscht werden konnten, das heißt, jemand anderes konnte das Bot-Netz übernehmen oder fernsteuern, quasi unbefugt. Bei Confiker sind diese Kommandos, auch die Updates, digital signiert, und zwar auf eine Weise, die nicht angegriffen werden kann. Diese Technik ist natürlich seit langem bekannt, und Experten haben sich gefragt, warum Malware sie nicht nutzt."
Nur die Macher von Confiker können den Virus steuern, indem sie ihn zunächst aufschließen, mit einem Geheimschlüssel. 4096 Bit RSA, das ist praktisch unknackbar. In seinen neuesten Varianten B und C bedient sich Confiker zudem einer Sicherheitstechnik namens MD6, die es noch gar nicht offiziell gibt, sondern noch in der Forschung ist. Felix Leder:
"Das heißt, diese Jungs sitzen auf jeden Fall am Zahn der Zeit, an der Quelle, kennen die Forschungen und haben ihre Hausaufgaben gemacht."
Confiker macht sich eine wunde Stelle zunutze, die sich in praktisch jedem Microsoft Betriebssystem befindet, einen so genannten Pufferüberlauf. Diese Sicherheitslücke hat Microsoft erst im letzten Oktober erkannt und veröffentlicht. Sofort stürzten sich Blackheads auf diesen wunden Punkt. Microsoft bot ein kostenloses Sicherheitsupdate an, um die Lücke zu schließen, aber Millionen von PC-Nutzern kümmerten sich nicht darum. Hier konnte sich Confiker einnisten und sein Bot-Netz aufspannen. Der Virus ist auf höchstem Niveau programmiert, er enthält zum Beispiel Fehlerabfangroutinen, damit er nicht ins Stolpern gerät. Er ist offen für alle möglichen Arten von Kommandos. Er aktualisiert sich automatisch – man kann nichts dagegen tun, ent- und verpackt sich dabei zu stets verschieden großen und damit schwer identifizierbaren Paketchen von nur wenigen Kilobyte, schreibt unsichtbare Einträge in die Registrierungsdatei von Windows. Wozu das Ganze?
"Ein Bot-Netz sind Ressourcen, Ressourcen bedeuten Macht, und in welchen kommerziellen Nutzen diese Macht umgemünzt werden kann, ist flexibel. Man kann Spam versenden, man kann aber auch das Online-Banking und dergleichen angreifen. Viel wichtiger aber ist die mittelbare Bedrohung, die von solchen Bot-Netzen ausgeht, die sich nicht gegen die einzelnen Computerbesitzer richtet, sondern gegen Firmen, Regierungsorganisationen und dergleichen, die dann mit Angriffen erpresst werden mit verteilten Angriffen aus diesen Netzen."
Der Fall ist so ernst, dass Microsoft auf die Enttarnung der Programmierer ein Kopfgeld ausgesetzt hat – 250.000 Dollar. Auch hier ist Confiker neu: Seine Macher kennt niemand. Wo sollte man suchen? Vielleicht, so eine gängige Verschwörungstheorie, in Kreisen der Anti-Viren-Industrie? Confiker belebt schließlich deren Geschäft. Tillmann Werner:
"Man kann sagen, dass die Hersteller solcher Software mit ihren kommerziellen Interessen in die Kategorie Mafia fallen. Es sind mafiöse, kriminell organisierte Strukturen. Und so ein Doppelleben würde ich keinem unterstellen, der auch in der Computer Security Szene unterwegs ist."
Wer seinen PC aktuell hält, eine Firewall aktiv hat und Anti-Viren-Software pflegt, war schon immer vor durchtriebenem Stück Code wie Confiker gefeit. Gerade Privatpersonen nehmen das nach Ansicht der beiden Bonner Informatiker leider nicht ernst genug.
"Aus unserer Sicht stellt es sich so dar, dass die Leute, die solche Schadprogramme schreiben, die niedrig hängenden Früchte pflücken, und das sind eben die PCs der Privatpersonen. Bei Banken gibt es hohe Wälle, die um die Systeme gezogen sind, da kommt man nicht so ohne weiteres durch, und wenn man’s geschafft hat, greifen auch die Gegenmaßnahmen viel schneller. Alle Banken haben heute Computernotfallteams, die sich tagtäglich nur mit solchen Vorfällen beschäftigten. Der Erfolg gibt diesen Malware-Autoren recht: Sie verdienen damit sehr viel Geld; das geht wahrscheinlich in die Millionen. Es gibt Studien, die besagen, dass da mehr Geld umgesetzt wird als am Drogenmarkt."
Das wahre Wurmgesicht - Nach dem letzten Update zeigt Conficker seine geschäftliche Mission
Michael Gessat im Gespräch mit Manfred Kloiber
Manfred Kloiber: Üblicherweise denkt man bei dem Wort "Anatomie" an Tote – doch das ist ein Irrtum und im Fall von Conficker ein ganz großer Irrtum sogar. Conficker ist schwer aktiv. In dieser Woche hat sich der Wurm neue Software nachgeladen. Michael Gessat ist ebenfalls für uns auf der Spur des Wurmes – mit welchen neuen Eigenschaften hat sich denn Conficker durch das neuerliche Update ausgestattet?
Michael Gessat: Zum einen hat der Wurm wie immer auf die Bemühungen von Sicherheitsexperten reagiert und ein paar Programmnamen und Internetseiten auf seine interne schwarze Liste gesetzt, die lassen sich dann auf befallenen Computern nicht mehr aufrufen. Da gehören zum Beispiel auch die Tools und die Webpage der beiden Bonner Experten dazu, aber die haben da auch entsprechend zurückreagiert und haben ihren Server verlagert. Aber was entscheidend ist, die neueste Conficker-Variante installiert nun zum ersten Mal etwas, was man aus der Sicht des Wurmes als "Nutzlast" bezeichnen könnte, aus der Sicht des Anwenders aber als Schadsoftware.
Kloiber: Um was handelt es sich da?
Gessat: Zum einen sind das Programmkomponenten eines anderen Computerwurms namens "Waledac". Der ist seit etwa Dezember 2008 in Umlauf und ein so genannter "multifunktionaler Spambot": Hauptsächlich nutzt er befallene Rechner, um unerwünschte Werbemails, also Spam zu versenden. "Waledac" kann aber auch E-Mailadressen, Passwörter und Bankingdaten ausspähen. Das ist also sozusagen jetzt ein "Joint Venture" unter Computer-Würmern; entweder die Conficker und Waledac-Betreiber sind identisch, oder das Conficker-Netz wurde quasi an Waledac vermietet.
Kloiber: Dann wird ja außerdem auf befallenen Rechnern noch ein Programm installiert, das sich "SpyProtect2009" nennt. Das klingt nach einem Antivirenprogramm- sorgt Conficker da freundlicherweise für seine eigene Entfernung?
Gessat: Nein, leider nicht. Bei "SpyProtect2009" handelt es sich um so genannte "Scareware". Das sind Programme, die in ständig von allein aufpoppenden Fenstern den Anwender warnen, sein PC sei mit diversen Schadprogrammen geradezu verseucht. Optisch und vom Namen her sehen diese Programme ähnlich aus wie bekannte Antivirensoftware. Und da kommt es also anscheinend recht häufig vor, dass Anwender da die Kreditkarte zücken, um die Vollversion zur Beseitigung des angeblichen Virenbefalls zu kaufen. "SpyProtect2009" soll zum Beispiel 49 Dollar 95 kosten. In Wirklichkeit beseitigen solche Programme natürlich keine Schädlinge, man holt sich im Gegenteil erst recht Unrat auf den Rechner.
Kloiber: Das hört sich aber immer noch relativ harmlos an.
Gessat: Ist es aber nicht. Denn wenn Conficker auf einem Rechner ein Scareware-Programm installieren kann, dann kann der Wurm auch ein x-beliebiges anderes Programm installieren. Zum Beispiel eines, dass die Festplatte verschlüsselt und das Passwort erst nach Lösegeldzahlung herausrückt. Oder auch nicht.
Kloiber: Ein internationales Konsortium von Sicherheitsfirmen versucht doch schon seit Monaten, Conficker einzudämmen. Wieso klappt das nicht?
Der Hauptgrund ist schlicht und ergreifend, dass immer noch allzu viele Windows-User ihre Systeme nicht überprüft, gereinigt und upgedatet haben. Dabei gibt es zum Beispiel mittlerweile Sofort-Tests auf Webseiten, zum Beispiel bei den Bonner Conficker-Experten, die braucht man nur anzusurfen, und man bekommt sofort eine Diagnose "Befallen oder Sauber". Allerdings ist Conficker auch sehr einfallsreich bei der Weiterverbreitung und beim Update: In den neueren Versionen funktioniert das jetzt über ein so genanntes Peer-to-Peer-Netz, also nach dem Prinzip der Filesharing-Tauschbörsen. So etwas ist dezentral organisiert und dadurch sehr robust.
Kloiber: Wer steckt dahinter?
Gessat: Das weiß man immer noch nicht.
Kloiber: Wie geht es weiter mit Conficker?
Gessat: Das werden wir wahrscheinlich in gut anderthalb Wochen sehen. Am 3.Mai deaktiviert sich nämlich die bis jetzt neueste Version. Und bis dahin werden die Conficker-Programmierer wohl wieder ein neues Update bereitstellen, das dann neue Schadfunktionen mitbringen könnte.