5166457

Confickers Armee von Roboter-PCs: Wann und wo schlägt der Wurm zu?

Kein Datenschädling hat sich in den letzten Jahren so rasant verbreitet wie der Wurm mit dem häßlichen Namen. Noch ist der Wurm inaktiv, wartet auf Befehle. Trotzdem mutiert er.

Übermorgen Opfer von Conficker? Website von Southwest Airlines. Bild: screenshot southwest.com

BERLIN taz Krankenhäuser, Abteilungen der Bundeswehr, zahlreiche Firmen und Privatpersonen: Die Zahl der PC-Besitzer, die sich mit einem Befall des Datenschädlings "Conficker" herumschlagen müssen, hat innerhalb weniger Monate epidemische Ausmaße angenommen.

Sicherheitsexperten schätzten bereits im Januar, dass weltweit neun Millionen Rechner betroffen waren, weniger konservative Schätzungen gehen davon aus, dass demnächst die 50-Millionen-Grenze überschritten wird.

Der Anti-Viren-Spezialist Panda Software glaubt gar, dass der Wurm in Deutschland bereits auf sieben Prozent aller Windows-Rechner vorhanden ist. Das wäre die schnellste Infektionsrate der letzten Jahre, wenn nicht aller Zeiten.

250.000 Dollar Belohnung

Trotzdem weiß noch immer niemand, aus welchem Grund der Datenschädling erstellt wurde, wer dahinter steckt und was sein tatsächliches Angriffsziel ist. Microsoft hat zwar bereits Mitte Februar insgesamt 250.000 Dollar auf die Ergreifung der Programmierer von Conficker ausgesetzt - die eingegangenen Hinweise erwiesen sich bislang allerdings als eher spärlich.

Grundsätzlich können die "Besitzer" von Conficker mit der nun geschaffenen Plattform an infizierten Rechnern tun und lassen, was sie möchten. Sie haben ein gigantisches Netzwerk an Roboter-PCs geschaffen, ein so genanntes "Botnet". Diese dienten in der Vergangenheit unter anderem dazu, einzelne Server anzugreifen und diese mit Anfragen zu überfluten; sogar Erpressungsversuche nach dieser Methode sind bekannt - a la "Gibst Du mir kein Geld, lege ich Dein System lahm".

Außerdem ist die Verwendung von Botnets zum Versand unerwünschter Massenmails höchst beliebt - der Spam kommt dann von so vielen Privat-PCs und Internet-Adressen, dass sich der tatsächliche Absender nicht mehr nachvollziehen lässt.

Obwohl Conficker noch nicht aktiv ist, mutiert der Datenschädling. Die IT-Sicherheitsfirma Symantec meldet, dass neue Varianten im Umlauf sind, bis zu fünf verschiedene sollen es inzwischen sein.

Befehlsuche auf Zufalls-Websites

Die jüngste Version soll dabei besonders aggressiv sein. Schon jetzt macht Conficker mächtig Ärger, weil der Wurm mit einem Zufallsalgorithmus versucht, Instruktionen von einer Website nachzuladen. Dazu wird aus einer bestimmten Zeichenkette eine Internet-Adresse gebildet. 250 Mal passierte das bislang am Tag.

Die Idee dabei scheint zu sein, dass die Conficker-Programmierer eine entsprechende Adresse registrieren, dort die Aufgaben für den Wurm hinterlegen und wieder verschwinden. Das Problem: Der Zufallsalgorithmus erzeugt auch Adressen, auf denen legitime Angebote laufen.

Am 13. März zum Beispiel dürfte nach den Berechnungen von Sicherheitsexperten die Website der Southwest Airlines dran sein. Diese Seite könnte dann unter dem Anfragebombardement des Wurms von normalen Usern nicht mehr zu ereichen sein.

Diese Sites kämpfen deshalb mit massiven Problemen, weil Conficker sie ständig abfragt, um seine Instruktionen abzuholen. Die neueste Variante des Datenschädlings soll dabei besonders rabiat vorgehen: Bis zu 50.000 Mal alle 24 Stunden werden neue Domains intern vom Programmcode ausgelost - anschließend versucht der Wurm diese Domains abzufragen.

Auch in Deutschland sucht der Wurm

Dabei werden zahlreiche Länderadressen verwendet, darunter auch Deutschland. Das Problem gilt inzwischen als so heftig, dass sich die Internet-Verwaltungsbehörde ICANN damit beschäftigen musste. Sie wollte versuchen, vorauszuberechnen, welche Adressen als nächstes dran sein könnten - und all diese Adressen blockieren. Doch dieser Pool ist durch die Mutation von Conficker inzwischen extrem groß geworden.

Hinzu kommt, dass Conficker auch intern schwieriger zu bekämpfen wird. Aktuelle Mutationen enthalten eine Routine, die laut Angaben von Symantec Anti-Viren-Programme und andere sicherheitsrelevante Windows-Anwendungen automatisch beendet. Sinn der Sache scheint zu sein, das Netzwerk aus Roboter-PCs, dass sich die Ersteller mit ihrem Werk geschaffen haben, unbedingt zu erhalten.

Dafür spricht auch, dass die Infektionsraten von Conficker nicht mehr so stark zunehmen wie noch vor einigen Wochen. Das liegt einerseits daran, dass Microsoft seine Nutzerinformationskampagne verstärkt hat und Entfernungswerkzeuge anbietet.

Andererseits könnte es aber auch sein, dass die Wurm-Programmierer selbst den Infektionsdruck verringert haben. Nervig bleibt Conficker auch ohne konkrete Aufgabe. Der Wurm versucht unter anderem, Administratoren-Accounts zu hacken und lähmt Firmennetzwerke durch viele interne Anfragen, um sich auszubreiten.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Den ersten Beitrag schreiben

Geben Sie Ihren Kommentar hier ein