Computervirus

Ein neuer Wurm im Rechner

16. Februar 2009 - Ein Virus, vier Namen. Conficker, Downadup, Downandup und Kido heißt der Wurm, der weltweit PCs mit
Conficker ist clever: Der Wurm kann seine Struktur verändern. Mit den herkömmlichen Antivirus-Programmen ist es deshalb nicht getan.
dem Microsoft-Betriebssystem Windows bedroht. Vorsicht Praxisbesitzer: Der Schadensbringer hat es vor allen Dingen auf Firmennetzwerke abgesehen.


Fast zehn Millionen Computer soll der seit November 2008 bekannte Conficker-Wurm bereits befallen haben, meldete die finnische IT-Firma F-Secure Ende Januar. Laut einer kurz darauf veröffentlichten Statistik von PandaLabs, einem kalifornischen Schutzsoftware-Hersteller, ist in sechs Prozent aller Windowsrechner der Wurm drin - das wären 50 Millionen Geräte.

So sehen Horrorszenarien in der Welt der Bits und Bites aus. Zu den bisherigen Opfern zählt unter anderem die neuseeländische Gesundheitsbehörde. Ganze zwei Wochen brauchte sie, um den Wurm loszuwerden. Obwohl Conficker sich hauptsächlich in Firmennetzwerke schleicht, sollten auch Privatleute wachsam sein: Der PC im Wohnzimmer ist nicht vor Angriffen sicher.

Zurzeit schlummert Conficker nur in den Netzwerken. Noch wurde er von seinen Urhebern nicht aktiviert. Experten vermuten, dass die Programmierer aus Russland oder der Ukraine stammen und Unternehmen mit einem potenziellen Angriff auf ihr IT-Netzwerk erpressen wollen.


Eintritt über die Hintertür
Conficker ist ein cleverer Wurm. Er kann seine Struktur verändern und ist deswegen nur schwer
 

Infos und Tipps

Microsoft hat für seine Kunden eine deutschsprachige Infoseite eingerichtet:
http://support.microsoft.com/kb/962007

PandaSecurity bietet einen Online-Scanner als Download an. Er sucht auf dem PC nach schädlicher Software:
www.pandasecurity.com/homeusers/
solutions/activescan

Windows bietet auf einer englischsprachigen Seite eine Software zum Entfernen schädlicher Programme an:
www.microsoft.com/security/
malwareremove/default.mspx
zu stoppen. Conficker-Einbrüche verlaufen in zwei Phasen: Zunächst späht der Wurm Sicherheitslücken in Windows aus und gelangt über eine so genannte Backdoor, ein Hintertürchen, ins System. Im Netzwerk angekommen, versucht der Schadensbringer in Phase zwei per Trial und Error das Administrator-Passwort des PCs herauszufinden. Knackt er das, stehen ihm Tür und Tor offen. Vorsicht: Conficker kann sich auch über USB-Sticks oder externe Festplatten im Netzwerk verbreiten. Besonders die für schnellen und bequemen Datentransport beliebten USB-Sticks sind eine Infektionsgefahr für PCs. Vorerst sollte man die Autorun-Funktion der Minidatenträger ausschalten. Das funktioniert temporär, indem man die Umschalt-Taste gedrückt hält, während man einen USB-Stick oder ein anderes Wechsellaufwerk einsteckt. Erst nach erfolgreicher Anmeldung kann wieder losgelassen werden.

Hat der Wurm sich in einem Rechner eingenistet, kann er nach Lust und Laune gefährliche Programme aus dem Netz herunterladen. Zum Beispiel Spionagesoftware zum Ausschnüffeln lokaler Dateien oder Programme, die Spammails an andere Rechner verschicken. Besonders gefährlich: Das Virus kommuniziert mit seinen Urhebern. Diese besitzen also theoretisch die Möglichkeit, den PC fernzusteuern.

Über Conficker können Botnetze aufgebaut und gesteuert werden. Bots sind ursprünglich Programme, die von Suchmaschinen als Suchmodule eingesetzt werden und das Internet nach neuen und aktualisierten Webseiten durchforsten. Bots können aber auch Kontrollaufgaben ausführen und von Außenstehenden benutzt werden, um in fremde Rechner einzudringen. Werden mehrere infizierte Rechner zu einem Botnetz zusammengeschlossen, können sie großen Schaden anrichten.

Auf befallenen Computern setzt der Wurm zunächst alles daran, die Sicherheitsvorkehrungen auszuschalten. Dazu gehören die automatische Update-Funktion von Windows, der Windows
 

Alles Quatsch

Die Fachzeitschrift "Computerbild" hat die Warnungen von PandaSecurity und den finnischen IT-Schützern von der Firma AV-Test, dem größten unabhängigen Viren-Testcenter in Europa, überprüfen lassen. Das Resultat: Die Horrormeldungen seien nicht berechtigt. Conficker hat laut Magazin nur etwa 500000 Computer befallen.
Defender und der Fehler-Benachrichtigungsdienst. Außerdem versucht Conficker, den Zugriff auf die Internetseiten von Anbietern von Antivirensoftware zu blockieren. Man kann die Update-Funktion auch manuell einleiten: Einfach auf dem Desktop auf das Start-Symbol klicken, dann auf "Hilfe und Support" und weiter auf "Den Computer mit Windows Update auf dem neuesten Stand halten". Der Rechner wird dann - falls nötig - upgedatet.

Aktuelle Antivirenprogramme können den Wurm inzwischen erkennen und bieten guten Schutz. Ist der Wurm schon vorher auf dem Rechner gelandet, können diese Programme verhindern, dass Conficker mit seinen Urhebern in Kontakt tritt.

Es empfiehlt sich, seinen PC einem Scan zu unterziehen, der in allen Dateien nach Malware sucht. Das kann einige Stunden dauern, verschafft aber Gewissheit.

Susanne Theisen
Freie Journalistin in Köln
SusanneTheisen@gmx.net


 zm 99, Nr. 4, 16.02.2009, Seite 104-105