Besonderheiten von Conficker/Downadup

Momentan machen zahlreiche Meldungen über einen neuen Wurm mit dem hier zu Lande etwas unglücklichen Namen „Conficker“ oder auch „Downadup“ die Runde. Conficker/Downadup verbreitet sich über die Lücke CVE-2008-4250 im Server Service, die Microsoft im vergangenen Oktober im Security-Bulletin MS08-067 beschrieben hat. Darin steht unter anderem:

This is a remote code execution vulnerability. An attacker who successfully exploited this vulnerability could take complete control of an affected system remotely. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability over RPC without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit. If successfully exploited, an attacker could then install programs or view, change, or delete data; or create new accounts with full user rights.

Genau das ist nun eingetreten und Dank unzähliger ungepatchter Systeme schwappt nun eine Conficker/Downadup-Welle durch das Internet. Nach einer erfolgreichen Infektion legt der Wurm zuerst Kopien von sich selbst in folgenden Ordnern ab:

* %System%[Random].dll
* %Program Files%Internet Explorer[Random].dll
* %Program Files%Movie Maker[Random].dll
* %All Users Application Data%[Random].dll
* %Temp%[Random].dll
* %System%[Random].tmp
* %Temp%[Random].tmp

Dann trägt er sich im Autostart-Bereich der Windows-Registry ein und erstellt auf jedem angeschlossenen USB-Laufwerk zwei Dateien. eine mit einem zufälligen Namen und eine „autorun.inf“, um sich so über das USB-Laufwerk weiter zu verbreiten. Außerdem hängt er sich an die Windows-Prozesse „svchost.exe“, „explorer.exe“ und „services.exe“ und trickst so vermutlich eine installierte Desktop-Firewall aus.

Außerdem deaktiviert Conficker/Downadup die folgenden Windows-Dienste:

# Windows Automatic Update Service (wuauserv)
# Background Intelligent Transfer Service (BITS)
# Windows Security Center Service (wscsvc)
# Windows Defender Service (WinDefend)
# Windows Error Reporting Service (ERSvc)
# Windows Error Reporting Service (WerSvc)

Und er blockiert den Zugriff auf Dutzende Sicherheits-Webseiten und versucht, sich mit einer Liste von häufig verwendeten Login-Namen an anderen Computern im Netzwerk anzumelden und Kopien von sich auf freigegebenen Laufwerken abzulegen. Außerdem startet der Wurm einen lokalen HTTP-Server, um sich über die eingangs erwähnte Lücke weiter zu verbreiten.

Außerdem überprüft Conficker/Downadup das Systemdatum und erstellt aus dem aktuellen Datum eine Liste von mehreren sich täglich ändernden Domain-Namen, mit denen er Kontakt aufnimmt, um dort neue Komponenten herunterzuladen. Die Ersteller des Wurms müssen also nur eine der fraglichen Domains registrieren, um Kontakt mit den infizierten Computern aufzunehmen und um ihren Wurm zu aktualisieren.

Das ist ein ziemlich guter Trick, hat aber den Nachteil, das sich diese Methode auch andere zunutze machen können, sobald der Domain-Algorithmus bekannt ist. F-Secure hat mehrere mögliche Domain-Namen registriert und konnte so Informationen über die Verbreitung von Conficker/Downadup sammeln. Laut Hochrechnungen von F-Secure sind mindestens 2,4 Millionen Computer weltweit mit dem Wurm infiziert. Das ist wirklich ein beeindruckend großes Botnet oder wie F-Secure es formuliert „a big badass botnet“.

Leider kann der Sicherheitsanbieter nicht viel mehr machen als Daten sammeln:

We could attempt to manipulate the infected machines. But of course we won’t. In fact, we won’t be doing anything at all to them – not even disinfect them – as that could be seen as „unauthorized use“. That is illegal, at least in many jurisdictions. (Doing something without being asked is also a very large ethical question…) Look but don’t touch is the golden rule.

F-Secure bietet auch Removal-Tools für Conficker/Downadup an, die sich gleich am Anfang der Virenbeschreibung finden.

Ein Gedanke zu “Besonderheiten von Conficker/Downadup

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.