Conficker Wurm schlägt zu - Zeit das eigene System zu überprüfen

April 13, 2009 von Frank

Die beiden Spezialisten Felix Leder und Tillmann Werner vom Institut of Computer Science IV, der Universität Bonn, die den Wurm einer intensiven Untersuchung unterzogen, stellten in der Analyse klar und unmissverständlich fest, dass die Machart dieses Schädlings eindeutig auf hochgradig fähige Softwareentwickler deutet.

Die üblichen Fehler, die Hobbyvirenprogrammierer machen, wurden bei diesem Wurm von Anfang an vermieden. Ein klares Signal auf ein strukturiertes Vorgehen. Die Technik mit der sich der Wurm vor den Augen der bekannten Anivirensoftwware versteckt, ist ein weiteres Indiz. Er tarnt sich als Subprozess der svchost.exe und ist damit für den normalen Anwender unsichtbar. Wer mit Ctrl-Alt-Del seinen Taskmanager aufruft, der sieht eben nur die svchost.exe. Und wer glaubt diesen Dienst beenden zu wollen, der legt mal eben sein gesamtes System lahm. Die Programmierer wissen exakt genau was sie tun. Die Verschlüsselung bestimmter Funktionen und das Anheben des Hash-Algorithmus (Verschlüsselungsstufe) von 1024 auf 4096 Bit zeugt von erheblicher krimineller Energie.

Nun hat der Wurm vor wenigen Tagen angefangen Aktivitäten zu entwickeln. Er zieht von Servern, die in der Ukraine stehen, die bekannte Schadsoftware SpyProtect2009 und installiert diese auf dem befallenen System.

Der ahnungslose Nutzer bekommt dann via Popup ständig einen Virenbefall vorgegaukelt. Das wird in der Folgezeit so nervig, dass Viele nachgeben und die angebotete Software zur Entfernung des vermeintlichen Schädlings via Kreditkarte beziehen. SpyProtect2009 ist bekannt und es gibt jede Menge Tools um diese Software wieder zu entfernen. Somit ist klar, dass der Wurm für die Programmierer als dauerhafte Einnahmequelle gedacht ist. Heute sind es die dubiosen Machenschaften mit SpyProtect2009 und morgen ist es ein anderer Anbieter. Die Wurmprogrammierer sind jedenfalls in der Lage auf einem befallenen System jede gwünschte Software zu installieren.  Was der Wurm in der Zwischenzeit noch alles an dem befallenen System verändert ist derzeit nicht bekannt.

Langsam aber sicher wird es klarer, dass die beiden Wissenschaftler der Uni Bonn Recht hatten, als sie vorhersagten, dass der Schädling zu finanziellen Zwecken programmiert wurde.

Das grösste Problem aber, stellt die Unwissenheit der Windowsnutzer in desem Falle dar. Die Allermeisten bewegen sich mit einem Benutzer der Administrationsrechte hat durchs Internet. Wer es nicht weiss, der schaut mal schnell in seine Systemsteuerung und dort unter der Benutzerverwaltung nach. In 70% der Fälle besitzt der eigene Benutzer, mit dem man sich ins System einloggt, Adminrechte. Und das ist der schleichende Tod auf Raten. Warum?

Weil ein Schädling, der übers Internet oder per Mail ins System eindringt sofort die Rechte des eigenen Benutzers hat. Und das ist in diesem Fall das Recht im System überall alles verändern zu dürfen. Die sogenannten Administrationsrechte. Da hilft auch keine Antivirensoftware mehr. Bei den heutigen DSL-Geschwindigkeiten zieht der Schädling in wenigen Sekunden alles Benötigte nach.
Erst wenn das Kind in den Brunnen gefallen ist, wird der Nutzer wach. Denn was dann folgt ist  entweder mühsame Entrümpelung oder Neuinstallation. Und wer keinen Spezialisten in der Familie hat und der Arbeitskollege auch nur Computerzeitschriftenleser ist, der bringt seinen PC dann zum Fachgeschäft. Egal die müssen auch von etwas leben. Und wie war das mit den Backups (Sicherheitskopien). Achja die wurden lange nicht mehr angelegt. Dann geht eben das Gejammer los.

Der Administrator ist nun mal der absolute Chef im Hause Windows-Betriebssystem. Was viele auf die leichte Schulter nehmen, rächt sich spätenes bei einem Schädlingsbefall.

Hier geht es zum Browserschnelltest der Uni Bonn  >>>TEST<<<

Was ist zu tun?

• Windows System neu aufsetzen
• Benutzer nur Standardrechte geben
• Gute Antivirensoftware installieren
• definitiv nicht jeden Klamauk installieren
• und Mailanhängen grundsätzlich misstrauen

Ich befürchte allerdings, dass uns das Thema Conficker noch sehr lange beschäftigen wird, da Viele die Einstellung haben: "Mir passiert das nicht".

Wenn Sie Fragen zum Thema PC-Sicherheit, Viren, Würmer und Trojaner und/oder sich nicht zu helfen wissen, schicken sie uns eine Mail an die Administration. Bitte nutzen Sie hierzu unser Kontaktformular und wählen darin die Kategorie "Technik" aus.  >>>KONTAKT<<<

Permalink