Im Internet ist eine neue Variante des Conficker-Wurms aufgetaucht. Die Bezeichnung der neuen Variante ist allerdings verwirrend. Während SRI International die neue Variante in einer Analyse als Conficker.B++ bezeichnet, verwendet Microsoft den Namen Conficker.C im Technet-Blog. Diesen Namen haben einige Antiviren-Hersteller, zum Beispiel Panda Security, allerdings bereits einer älteren Variante zugeordnet.
Die älteren Varianten haben kurioserweise durch einen In-Memory-Patch der Datei Netapi32.dll die Lücke MS08-067, durch die der Wurm auf einen Rechner gelangen kann, selbst geschlossen – vermutlich, um die "Konkurrenz" von infizierten Rechnern fernzuhalten. Die neue Variante hingegen erlaubt das Nachladen von Schadcode auf diesem Weg, wenn eine bestimmte Signatur vorhanden ist. Darüber hinaus öffnet Conficker.B++ eine Named Pipe, über die weitere Malware eingeschleust werden kann.
Das Auftauchen dieser neuen Variante ist offensichtlich eine Reaktion darauf, dass den Autoren des Conficker-Botnetzes mit den alten Versionen der Zugang zu verseuchten PC weitgehend verwehrt bleibt, da die alten Varianten Schadcode von vordefinierten URLs nachzuladen versuchen. Weil diese URLs bekannt sind, haben die Internet-Registries die zugehörigen Domains bereits gesperrt.
Das bedeutet jedoch nicht, dass alle Varianten vor Conficker.B++ nun harmlos sind. In Firmennetzen richten auch die älteren Varianten gravierende Schäden an, etwa das Auslösen der Teergrubensperre für Benutzerkonten und Fehlverhalten bei der DNS-Auflösung.
Neueste Kommentare
1 Kommentar zu Neue Conficker-Variante aufgetaucht
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Conficker II
Schon wieder eine Medien-Hype wie bei Conficker I? Es ist ja nicht einmal bekannt, was die krimellen Programmierer der Schädlinge bezwecken. Und: Bereits Ende Oktober 2008 war Conficker I für umsichtige PC-Benutzer keine Gefahr mehr. Nicht mehr als 750 Tausend PC´s sollen bis heute weltweit betroffen sein, die meisten davon sind Firmenrechner in den USA; keineswegs aber "mehrere Millionen", wie ein finnischer Hersteller von Virenscannern . Wozu die Aufregung? Es scheint, als werde die Gefahr künstlich aufgebauscht, jedenfalls verberitet sich der Wurm schneller über Pressemeldungen als über infizierte PC´s.