Der Windows-Wurm "Conficker" verbreitet sich weiterhin rasend schnell über das Internet. Laut den Sicherheitsexperten von F-Secure hat er inzwischen über neun Millionen Rechner infiziert.
Erst in der letzten Woche meldete F-Secure rund 2,5 Millionen infizierte PCs. Von einigen Seiten musste sich das Unternehmen Kritik gefallen lassen, da die hohen Zahlen wenig glaubhaft erschienen. Jetzt wurden Details zur Art und Weise der Zählung veröffentlicht. Demnach hat F-Secure ca. 250 der von Conficker kontaktierten Domains registriert und protokolliert die Verbindungen mit.
Zudem überträgt der Wurm die Zahl der erfolgreich infizierten Systeme im HTTP-Header, sobald einer der Server zum Nachladen von Code kontaktiert wird. Auch diese Daten verwendet F-Secure bei seiner aktuellen Schätzung. Bislang kamen jeden Tag mehrere hundert Tausend neue PCs hinzu.
Warum ausgerechnet Conficker so erfolgreich ist, überrascht auch die Experten. Immerhin ist seit drei Monaten ein Patch von Microsoft erhältlich, der die Sicherheitslücke in Windows schließt. Allerdings nutzt Conficker auch schwache Admin-Passwörter aus, um sich über Netzwerkfreigaben zu verbreiten.
Conficker hat die Fähigkeit, Code aus dem Internet nachzuladen. Dazu generiert er über einen Algorithmus verschiedene Domain-Namen - aufgrund der Komplexität ist es kaum möglich, all diese Adresse zu sperren. Die Experten rechnen jetzt mit Angriffen durch ein großes Botnetz, welches von Conficker aufgebaut wird.
Die Experten des Security-Unternehmens SRI International haben eine neue Variante des Conficker-Wurms entdeckt. Diese wird als "Conficker B++" klassifiziert.
Die Variante basiert auf dem Conficker B-Code. Den Angaben zufolge bietet sie Angreifern aber deutlich bessere Möglichkeiten, zusätzliche Schadcodes in einen infizierten PC einzuschleusen. Sie können sich so ein sehr flexibles Netzwerk aus Drohnen schaffen, hieß es.
Auch Conficker B konnte bereits zusätzliche Komponenten aus dem Netz laden. Allerdings lässt sich die B++-Variante direkt von außen mit einer URL füttern, an der weitere Codes bereitgestellt wurden. Damit scheidet die Möglichkeit aus, den Wurm auszubremsen, indem man seine zuvor fest eingebauten Download-Adressen blockiert.
SRI war am Montag auf die neue Version aufmerksam geworden. Gestern stellten die Forscher die Erkenntnisse ihrer Analyse ins Netz. Conficker ist einer der aktivsten Würmer der letzten Jahre, der sich wegen seiner verschiedenen Übertragungswege schon weit ausbreiten konnte.
DIE LÖSUNG:
Für Abhilfe sorgt den Angaben zufolge aber eine Bearbeitung der Registry. Dies erfolgt so:
* Folgender Text wird in einen Editor kopiert:
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"
* Die Datei wird unter dem Namen autorun.reg abgespeichert.
* Anschließend lässt diese sich starten und nimmt die Änderungen vor.
Da Windows die Informationen aus der Autostart-Datei auch in einem Cache speichert, sei es außerdem sinnvoll, den Rechner nach der Durchführung der Registry-Änderung neu zu starten oder den Registry-Eintrag HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 zu löschen.
Conficker B++: Neue Version des Wurms ist flexibler
WICHTIG, hier gibt es auch gleich die Lösung für das Problem !
Hat Ihnen der Artikel gefallen? 
Ja, gefällt mir
Ja, gefällt mir
Kommentare zum Artikel
