Con++++er-Wurm ist trotz Microsoft-Patch nicht totzukriegen

[kingweed]

Update für endgültiges Abschalten von Autorun verfügbar

Der Wurm Con++++er alias Downadup breitet sich weiter aus. Inzwischen sind neue Versionen im Umlauf, die sich den bisherigen Bekämpfungsversuchen widersetzen. Eine der Gegenmaßnahmen, das Abschalten der Autorun-Funktion von Windows, war zudem wirkungslos. Dagegen hat Microsoft nun neue Patches veröffentlicht.


Con++++er, dessen Zweck und Urheber noch immer unbekannt sind, verbreitet sich nicht nur über eine seit Oktober 2008 gepatchte Lücke im RPC-Service von Windows. Der Schädling kann auch auf Wechseldatenträgern wie USB-Sticks die Autorun-Funktion so manipulieren, dass der Benutzer leicht über ein gefälschtes Symbol im gewohnten Dialog den Wurm anklickt.

Offenbar gelangt Con++++er per Autorun häufig in die Netzwerke von Unternehmen und Behörden, wo er sich dann verbreiten kann. Das setzt jedoch immer voraus, dass die Rechner nicht sämtliche Sicherheitsupdates für Windows besitzen. Die Meldungen über schnelle Verbreitung in Netzen reißen nicht ab, aktuell soll es laut Spiegel Online die Verwaltungsfachhochschule von Güstrow in Mecklenburg-Vorpommern erwischt haben.

Dort sollen alle Rechner vom Internet getrennt worden sein, Server und Clients werden Spiegel Online zufolge derzeit von Hand gesäubert. Mitte Februar musste die Bundeswehr ähnliche Maßnahmen ergreifen, die inzwischen abgeschlossen sind.

Microsoft, das bereits eine Prämie von 250.000 US-Dollar für Hinweise auf den Autor von Con++++er ausgesetzt hatte, bekämpft den Wurm inzwischen sehr aktiv. Da es bisher durch einen Fehler in allen Windows-Versionen seit der Ausgabe 2000 nicht möglich war, die Autorun-Funktion vollständig auszuschalten, wird das nun nachgerüstet. Für Windows Vista und Windows Server 2008 stehen bereits seit Juli 2008 entsprechende Patches bereit (KB950582), die auch per Windows Update verteilt wurden.


Am 24. Februar 2009 hat Microsoft nun auch Patches für Windows XP, Windows 2000 und Windows Server 2003 veröffentlicht (KB967715). Bereits in der Nacht zum 25. Februar 2009 deutscher Zeit wurde das Update für Windows XP auch per Windows Update automatisch verteilt.

Aber auch die Con++++er-Programmierer bewegen sich. Wie das Stanford Research Institute (SRI) in einer ausführlichen Analyse der aktuellen Con++++er-Varianten berichtet, wurde der Code des Schädlings inzwischen gründlich überarbeitet. Die Version "Con++++er B++", von Microsoft auch "Con++++er.C" genannt, kann nicht nur von festen Domains Code nachladen, sondern über eine durch den Wurm geöffnete Backdoor auch direkt.

Die Autoren können somit infizierte PCs direkt mit neuen Versionen ihrer Schadsoftware beschicken. Frühere Varianten des Wurms waren auf Webserver angewiesen, eine Vielzahl dieser Domains hat Microsoft inzwischen aber unter seine Kontrolle gebracht oder abschalten lassen.

Schwer einzuschätzen ist nach wie vor die Verbreitung der Con++++er-Varianten. Das SRI hat über mehrere Tage mit einem Honeynet die Zahl der Angriffe beobachtet und kam auf über 10,5 Millionen IP-Adressen, von denen aus sich Con++++er verbreiten wollte. Die Sicherheitsanalytiker gehen davon aus, dass sich dahinter mindestens eine Million Rechner verbergen. Antivirenhersteller hatten schon bei den ersten Versionen des Wurms vor mehreren Millionen Infektionen gewarnt.

Dass ständig neue Varianten des recht komplexen Programms auftauchen ist immerhin ein Hinweis darauf, dass hinter Con++++er gut organisierte Strukturen stecken könnten. Wurmautoren bieten die von ihnen infizierten "Zombie-PCs" oft gegen Bezahlung an, etwa, wenn DoS-Attacken gegen missliebige Unternehmen und Organisationen gefahren werden sollen. Bisher gibt es aber keine Berichte über größere Ausfälle von Internetinfrastruktur, die sich auf Con++++er zurückführen ließen.

Alle gängigen Antivirenprogramme erkennen den Wurm seit mehreren Wochen, in der Regel auch in allen Varianten. Wer zudem stets alle sicherheitskritischen Windows-Updates einspielt, muss sich zumindest über eine Infektion über das Netzwerk keine Sorgen machen. Ein aktueller Virenscanner mit eingeschalteter On-Access-Überwachung sollte auch das Autorun-Programm auf USB-Sticks erkennen. Dabei ist jedoch Vorsicht geboten, da sich die neuen Con++++er-Varianten selbst aktualisieren können und so vielleicht in künftigen Versionen doch von einem infizierten PC aus das lokale Netz angreifen könnten.

Quelle: golem.de

[snify]

Unglaublich...
die wollen ein riesen Botnetz aufbauen und dann die Nasa-Server lahmlegen... ^^
Natürlich würden sie das nicht tun, für eine Gewisse Summe...
was die wohl vorhaben...?

[DevilC]

Nett Nett
Die Jungs sind zwar absolut krank, aber auch absolut genial

[zeus7]

die haben die macht!!
ich mein die könnten theoretisch alles und jeden erpressen?
quasi weltherrscher

[RolF32]

Omg Echt hart!!
Naja wer dass geld hat!

[Grim-Reaper]

Nice

[fred777]

Bin gespannt wer den Autor erwischt
Schön viele Opfer muss man sagen...

[Shadowstyle]

Naja ich glaube der wird erstmal net gepackt
Wenn da ca 1 mio rechner hinter dem Botnet hängen gibts da keine chance ^^
Vorallem wenn der Wurm eine update funktion hat
Die sind Genial!

[DevilC]

Naja der "Wurmautor" (einzahl) ist da wohl eher fehl am platze..
das wird ne gruppe sein..
Da im text ja steht, dass Microsoft schon viele der Server auf die der Wurm connected hochgenommen hat.
Da is die belastung für einen alleine viel zu hoch, um ständig wieder neue domains zu erstellen, die infos die der wurm in millionenausführung hochlädt runterzuladen, und auszuwerten, updates zu schreiben .... und daneben noch zu schlafen, zu essen, und was man sonst noch so alles machen muss...

Aufjedenfall wäre das Reallive mal am arsch... und du würdest nur noch für den wurm arbeiten...

[Winduser]

hat sich einer schon gedanken gemacht, ob die Autoren nicht Insider von Microsoft sind?
vllt Programmierer von Windows, deshalb haben die die Lücke auch gefunden -bzw-lange nicht gepatcht.
wäre echt saugeil, wenn sich rausstellt, das es hohe Tiere von Mircosoft sind, die den Gefährlichtsten Virus der Welt schaffen. Aussgerechntet nach dem (GRINZ) riessigen Programmierfehler Windows Vista (GRINZ) kommt so ein Geniales Programm