Natürlich soll Microsoft mal wieder an allem schuld sein. Denn "Conficker" nutzt ursprünglich eine Sicherheitslücke des Windows-Betriebssystems aus, um PCs, die am Internet hängen, zu infizieren. Allerdings, das muss man fairerweise hinzufügen: Microsoft hat diese Lücke unmittelbar nach ihrem Bekanntwerden gestopft, nämlich schon im Oktober 2008. Thomas Hungenberg vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik, nennt zwei Gründe, warum der Computerwurm trotzdem mittlerweile weltweit Millionen von Rechnern verseuchen konnte:
"Es ist davon auszugehen, dass viele, gerade Heimnutzer wahrscheinlich nachlässig umgehen mit ihrer Sicherheit und den Patch nicht eingespielt haben, oder vielleicht auch absichtlich die Sicherheitsupdates nicht einspielen, wenn sie zum Beispiel raubkopierte Windows-Versionen verwenden, was vielleicht nicht gerade im deutschen Raum, aber in anderen Ländern häufig der Fall ist. Und in Unternehmensnetzwerken wurden die Patches vielleicht nicht so schnell ausgerollt, weil immer eine bestimmte Qualitätssicherung erst erforderlich ist."
Ohnehin haben Firmen und Behörden noch ein anderes gefährliches Einfallstor: "Conficker" infiziert nämlich auch Wechselmedien wie USB-Sticks und USB-Festplatten. Und so bringen Mitarbeiter den Wurm nichtsahnend von zu Hause oder vom letzten Kundenbesuch mit und verseuchen ihren Dienst-PC. Die älteren "Conficker"-Versionen versuchen sich anschließend im Unternehmensnetz weiter zu verbreiten: Über ohnehin freigegebene Laufwerke, und indem sie eine Liste mit gebräuchlichen Passwörtern ausprobieren. Diese Rate-Strategie kann aufgehen, aber auch auffallen: Nach allzu vielen Fehlversuchen blocken die Nachbarrechner die Verbindung ab, und genau das führt zu den Netzwerkproblemen in befallenen Firmen und Behörden. Eine sonstige direkte Schadfunktion hat der Wurm erst einmal gar nicht. Trotzdem, die infizierten Rechner sind schon gewissermaßen Zombies, die nur noch auf einen Einsatzbefehl warten:
"Das Schadprogramm generiert in Abhängigkeit des Datums eine Liste von Domainnamen, das waren bei den Varianten A und B 250 Domains am Tag. Aus dieser Liste sucht es sich einige Domainnamen raus und versucht sich zu diesen zu verbinden und von dort dann weiteren Programmcode nachzuladen."
Microsoft, die Internetverwaltung ICANN und zahlreiche Sicherheitsunternehmen versuchen nun schon seit Wochen in einer konzertierten Aktion, das zu verhindern. Das Konsortium registriert die jeweiligen Domains auf sich selbst, bevor die "Conficker"-Betreiber das tun und Programmcode bereitstellen können. Angeblich hat diese Strategie dem Wurm bislang erfolgreich den Wind aus den Segeln genommen. Fragt sich allerdings, warum seit dem 5. März eine große Anzahl befallener Rechner mit einer aktualisierten Programm-Version versorgt wurde:
"Es sieht jedenfalls so aus, dass einige Domains eben doch nicht blockiert waren, und darüber lief dann das Update von der Version B auf Version C. Entweder wurden die Domains nicht blockiert, oder sie waren schon registriert, bevor Microsoft versuchte, sie zu registrieren. Ich weiß es nicht, diese Frage sollte man jemanden bei Microsoft stellen."
Vinod Yegneswaran vom amerikanischen Forschungsinstitut SRI hat "Conficker" bis ins kleinste Detail analysiert: Die neue Version C, die am 1. April aktiv wird, legt noch einmal kräftig nach; sie generiert gleich 50.000 potenzielle Domainnamen pro Tag. Die Experten bezweifeln, ob da das Vorwegreservieren weiterhin klappen kann. Zudem wird die Wahrscheinlichkeit immer größer, dass viele der Domains schon angemeldet sind. Und ob sich hinter einer bestehenden Webpräsenz eine legitime Firma oder eine getarnte Seite der Angreifer verbirgt, ist im Voraus praktisch nicht zu erkennen.
"Die Sache mit den 50.000 potenziellen Domains ist eine Nebelwand und ein nach wie vor ernsthaftes Problem. Aber die Version C hat eine zusätzliche, noch wirksamere Methode, sich mit Programmcode zu versorgen: Den eingebauten Peer-to-Peer-Mechanismus. Ich denke, man sollte sich eher darauf konzentrieren, diese Kommunikation abzublocken, als zu versuchen, weiterhin sämtliche Domains zu sperren."
Die neue Version "C" verzichtet übrigens auch auf die Passwort-Raterei und macht somit keinen Radau mehr im Intranet. Was die "Conficker"-Betreiber mit dem Bestand von nach wie vor Millionen infizierten Rechnern eigentlich anstellen wollen, Spam versenden, oder koordinierte Angriffe auf Firmen oder Behörden starten; auch Vinod Yegneswaran kann das nicht vorhersagen. An ein Internet-Armageddon zum Monatswechsel aber glaubt praktisch kein Experte:
"Es gibt keinen Grund anzunehmen, dass am 1. April irgend etwas außergewöhnliches passieren wird. Auch mögliche Steuer-Domains werden nicht ausgerechnet an diesem Datum registriert und mit Programmcode versorgt werden. Viel wahrscheinlicher ist, dass die Conficker-Programmierer noch etwas warten, bis die Aufmerksamkeit wieder etwas geringer geworden ist."
"Es ist davon auszugehen, dass viele, gerade Heimnutzer wahrscheinlich nachlässig umgehen mit ihrer Sicherheit und den Patch nicht eingespielt haben, oder vielleicht auch absichtlich die Sicherheitsupdates nicht einspielen, wenn sie zum Beispiel raubkopierte Windows-Versionen verwenden, was vielleicht nicht gerade im deutschen Raum, aber in anderen Ländern häufig der Fall ist. Und in Unternehmensnetzwerken wurden die Patches vielleicht nicht so schnell ausgerollt, weil immer eine bestimmte Qualitätssicherung erst erforderlich ist."
Ohnehin haben Firmen und Behörden noch ein anderes gefährliches Einfallstor: "Conficker" infiziert nämlich auch Wechselmedien wie USB-Sticks und USB-Festplatten. Und so bringen Mitarbeiter den Wurm nichtsahnend von zu Hause oder vom letzten Kundenbesuch mit und verseuchen ihren Dienst-PC. Die älteren "Conficker"-Versionen versuchen sich anschließend im Unternehmensnetz weiter zu verbreiten: Über ohnehin freigegebene Laufwerke, und indem sie eine Liste mit gebräuchlichen Passwörtern ausprobieren. Diese Rate-Strategie kann aufgehen, aber auch auffallen: Nach allzu vielen Fehlversuchen blocken die Nachbarrechner die Verbindung ab, und genau das führt zu den Netzwerkproblemen in befallenen Firmen und Behörden. Eine sonstige direkte Schadfunktion hat der Wurm erst einmal gar nicht. Trotzdem, die infizierten Rechner sind schon gewissermaßen Zombies, die nur noch auf einen Einsatzbefehl warten:
"Das Schadprogramm generiert in Abhängigkeit des Datums eine Liste von Domainnamen, das waren bei den Varianten A und B 250 Domains am Tag. Aus dieser Liste sucht es sich einige Domainnamen raus und versucht sich zu diesen zu verbinden und von dort dann weiteren Programmcode nachzuladen."
Microsoft, die Internetverwaltung ICANN und zahlreiche Sicherheitsunternehmen versuchen nun schon seit Wochen in einer konzertierten Aktion, das zu verhindern. Das Konsortium registriert die jeweiligen Domains auf sich selbst, bevor die "Conficker"-Betreiber das tun und Programmcode bereitstellen können. Angeblich hat diese Strategie dem Wurm bislang erfolgreich den Wind aus den Segeln genommen. Fragt sich allerdings, warum seit dem 5. März eine große Anzahl befallener Rechner mit einer aktualisierten Programm-Version versorgt wurde:
"Es sieht jedenfalls so aus, dass einige Domains eben doch nicht blockiert waren, und darüber lief dann das Update von der Version B auf Version C. Entweder wurden die Domains nicht blockiert, oder sie waren schon registriert, bevor Microsoft versuchte, sie zu registrieren. Ich weiß es nicht, diese Frage sollte man jemanden bei Microsoft stellen."
Vinod Yegneswaran vom amerikanischen Forschungsinstitut SRI hat "Conficker" bis ins kleinste Detail analysiert: Die neue Version C, die am 1. April aktiv wird, legt noch einmal kräftig nach; sie generiert gleich 50.000 potenzielle Domainnamen pro Tag. Die Experten bezweifeln, ob da das Vorwegreservieren weiterhin klappen kann. Zudem wird die Wahrscheinlichkeit immer größer, dass viele der Domains schon angemeldet sind. Und ob sich hinter einer bestehenden Webpräsenz eine legitime Firma oder eine getarnte Seite der Angreifer verbirgt, ist im Voraus praktisch nicht zu erkennen.
"Die Sache mit den 50.000 potenziellen Domains ist eine Nebelwand und ein nach wie vor ernsthaftes Problem. Aber die Version C hat eine zusätzliche, noch wirksamere Methode, sich mit Programmcode zu versorgen: Den eingebauten Peer-to-Peer-Mechanismus. Ich denke, man sollte sich eher darauf konzentrieren, diese Kommunikation abzublocken, als zu versuchen, weiterhin sämtliche Domains zu sperren."
Die neue Version "C" verzichtet übrigens auch auf die Passwort-Raterei und macht somit keinen Radau mehr im Intranet. Was die "Conficker"-Betreiber mit dem Bestand von nach wie vor Millionen infizierten Rechnern eigentlich anstellen wollen, Spam versenden, oder koordinierte Angriffe auf Firmen oder Behörden starten; auch Vinod Yegneswaran kann das nicht vorhersagen. An ein Internet-Armageddon zum Monatswechsel aber glaubt praktisch kein Experte:
"Es gibt keinen Grund anzunehmen, dass am 1. April irgend etwas außergewöhnliches passieren wird. Auch mögliche Steuer-Domains werden nicht ausgerechnet an diesem Datum registriert und mit Programmcode versorgt werden. Viel wahrscheinlicher ist, dass die Conficker-Programmierer noch etwas warten, bis die Aufmerksamkeit wieder etwas geringer geworden ist."