Neue Conficker-Variante aufgetaucht

Im Internet ist eine neue Variante des Conficker-Wurms aufgetaucht. Die Bezeichnung der neuen Variante ist allerdings verwirrend. Während SRI International die neue Variante in einer Analyse als Conficker.B++ bezeichnet, verwendet Microsoft den Namen Conficker.C im Technet-Blog. Diesen Namen haben einige Antiviren-Hersteller, zum Beispiel Panda Security, allerdings bereits einer älteren Variante zugeordnet.

Die älteren Varianten haben kurioserweise durch einen In-Memory-Patch der Datei Netapi32.dll die Lücke MS08-067, durch die der Wurm auf einen Rechner gelangen kann, selbst geschlossen – vermutlich, um die "Konkurrenz" von infizierten Rechnern fernzuhalten. Die neue Variante hingegen erlaubt das Nachladen von Schadcode auf diesem Weg, wenn eine bestimmte Signatur vorhanden ist. Darüber hinaus öffnet Conficker.B++ eine Named Pipe, über die weitere Malware eingeschleust werden kann.

Das Auftauchen dieser neuen Variante ist offensichtlich eine Reaktion darauf, dass den Autoren des Conficker-Botnetzes mit den alten Versionen der Zugang zu verseuchten PC weitgehend verwehrt bleibt, da die alten Varianten Schadcode von vordefinierten URLs nachzuladen versuchen. Weil diese URLs bekannt sind, haben die Internet-Registries die zugehörigen Domains bereits gesperrt.

Das bedeutet jedoch nicht, dass alle Varianten vor Conficker.B++ nun harmlos sind. In Firmennetzen richten auch die älteren Varianten gravierende Schäden an, etwa das Auslösen der Teergrubensperre für Benutzerkonten und Fehlverhalten bei der DNS-Auflösung.