„Conficker“ legt neun Millionen PCs lahm

Viren gehören im PC-Betrieb schon lange zum nervigen Alltag und bringen Herstellern von Antiviren-Software gute Umsätze. Doch ein kleiner Wurm hält sich tapfer seit letztem Herbst im World Wide Web. Und erlebt jetzt seinen zweiten Frühling. "Conficker" alias "Downadup" alias "Kido" hat mittlerweile schon neun Millionen PCs infiziert. In Kärnten legte er jetzt sogar Krankenhäuser und Teile der Regierung lahm. Betroffen sind vor allem Firmennetzwerke und PCs, auf denen Windows läuft.

Anzeige

Viren-Experten kennen „Conficker“ schon seit längerem. Doch jetzt scheint der muntere Virus seinen internationalen Durchbruch zu planen. Das Sicherheitsunternehmen F-Secure veröffentlichte jetzt die Zahl der infizierten Windows-Rechner im Firmenblog: 8.976.038.

Die Zählmethode war zuvor stark kritisiert worden. Der österreichische IT-Experte Josef Pichlmayr schwärmt sogar für den Virus. Er sei „exzellent geschrieben“. Zahlreiche Privatpersonen, die den seit November erhältlichen „Schutz-Patch“ MS08-067 von Microsoft noch nicht installiert haben, sind gefährdet. Das gilt auch für Firmen, die über die Feiertage das Microsoft-Update vergessen haben.

Extrem hartnäckiger Virus

Die Methode von F-Secure scheint jedoch stimmig: Der Hersteller von Antiviren-Software registrierte gleich mehrere der 250 täglich vom Wurm kontaktierten Domains. Die Verbindungen wurden protokolliert und alle eindeutigen IPs mitgezählt.

Doch was macht „Conficker“ (auch „Kido“ oder „Downadup“ genannt) mit den infizierten Systemen? Sobald sich der Wurm selbstständig installiert hat, löscht er zunächst alle Wiederherstellungs-Punkte des Betriebssystems. Dadurch lässt er sich kaum mehr auf herkömmlichem Weg entfernen. Danach öffnet „Conficker“ vollautomatisch die Firewall von Windows und beginnt, schadhafte Software von fremden Servern herunterzuladen. Das Ziel ist das Sammeln von sensiblen Daten, vor allem Passwörter und Kreditkarten-Nummern.

Was ein Rätsel aufwirft, ist der Erfolg des Wurms. Schon seit Monaten liegt auf den Microsoft-Servern ein Patch für die Sicherheitslücke, die „Conficker“ ausnutzt. Allerdings verbreitet er sich nicht nur über eine ältere Lücke in Windows, sondern auch über Netzwerkshares. Dabei macht er sich offenbar mit einem schwachen Passwort geschützte Administratoren-Konten zunutze. Darüber hinaus befällt er auch USB-Sticks. Wie er sich sicher entfernen lässt, findet sich in dieser Anleitung.

Betroffen sind vor allem Firmennetzwerke

Schließt man einen infizierten Stick an den Rechner an, so fragt der Rechner zwar nach der gewünschten Aktion, statt den Wurm gleich zu starten. Allerdings soll der Wurm nach Angaben des Internet Storm Center dem Anwender dabei durch nachgemachte Icons zum Klick auf die Start-Option bringen können.

Auf diese Weise gelangt „Conficker“ auch in Firmennetzwerke. Bringt ein Mitarbeiter einen infizierten Laptop oder USB-Stick mit in die Firma, verteilt er sich dort über das Netzwerk auf andere Laptops, die wiederum das Heimnetzwerk der Angestellten infizieren können.

Anzeige
Anzeige

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*

Anzeige