Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Flugzeuge können nicht starten. Die Bundeswehr muss Rechner abschalten. Schuld ist der Wurm Conficker, der Schäden anrichtet wie kaum ein anderer. ZDNet erläutert, warum er sich so rasant verbreiten kann und wie man die Gefahr abwendet.

Lange hat sich keine Malware mehr auf so vielen Windows-Servern in Unternehmen verbreitet wie der Conficker-Wurm, der von einigen Antiviren-Herstellern auch Downadup genannt wird. Besonders gefährlich sind die Varianten B und C, die ihr Unwesen seit dem 1. Januar 2009 treiben. Der Wurm Conficker.B begann am 30. Dezember 2008 damit, sich zu verbreiten. Die nur geringfügig modifizierte Variante Conficker.C folgte einen Tag später. Viele Hersteller, beispielsweise Microsoft und Symantec, sehen Conficker.C nicht als eigenständige Variante und bezeichnen beide Varianten als Conficker.B.

Eigentlich hätte es gar nicht dazu kommen dürfen, dass sich dieser Wurm verbreitet. Bereits am 23. Oktober 2008 hatte Microsoft das Security-Bulletin MS08-067 veröffentlicht und ein außerordentliches Update angekündigt. Ein Update außerhalb der normalen Patchdays bringt Microsoft nur äußerst selten. Allerdings ist das ein sicheres Zeichen dafür, dass es sich um eine sehr ernste Lücke handelt, die man nicht ignorieren sollte.

Nach etwa einem Monat tauchte der weniger gefährliche Wurm Conficker.A auf, erst später die gefährlichen Varianten B und C. Um sich vor der gefährlichen Variante zu schützen, hätte es ausgereicht, sein System innerhalb von zwei Monaten auf den neuesten Stand zu bringen. Privatleute aktualisieren ihr System relativ häufig. Sie waren von dem Conficker-Wurm kaum betroffen.

Anders sieht es in Unternehmen aus. Ab dem 1. Januar 2009 kam es zu einer zeitweisen Überlastung der europäischen Hotline von Microsoft. Microsofts EMEA-Sicherheitschef Roger Halbheer fühlte sich in seinem Skiurlaub gestört und verfasste den Blogeintrag Russian Roulette with your Network, in dem er sich unter anderem darüber beschwerte, dass Kunden keine Updates einspielten. Inzwischen hat Microsoft sogar eine Belohnung von 250.000 Dollar (etwa 195.000 Euro) für Hinweise auf den Conficker-Autor ausgesetzt.

Auf Systemen, die den Patch MS08-067 nicht installiert haben, kann sich der Wurm über RPC einnisten. Ist er einmal auf einen Rechner gelangt, so stört er den Betrieb mächtig. Zunächst patcht er einige DNS-APIs. Dies tut er, um zu verhindern, dass man sich aktualisierte Antiviren-Signaturen herunterlädt. Wenn ein DNS-Name Strings wie Microsoft, Kaspersky, Symantec, Sophos oder Avira enthält, dann wird diese DNS-Query nicht mehr ausgeführt. Hat man sich Conficker auf einem DNS-Server für das Intranet eingefangen, so können auch Client-Computer keine Verbindung zu www.microsoft.com aufbauen, da der String microsoft enthalten ist.

Noch ärgerlicher ist, dass Conficker versucht, sich unter einer gültigen Benutzerkennung anzumelden, um sich so auf andere Rechner auszubreiten. Dazu probiert er eine ganze Reihe von Passwörtern wie password, abc123, qwerty, Admin und changeme aus. Die Passwörter kombiniert er mit der Benutzerliste der gesamten Domain. Ist Conficker mit einem Admin-Account erfolgreich, bedeutet das, dass er sich in der Regel unmittelbar im gesamten Intranet verbreitet.

Obwohl die Liste der Passwörter lang ist, bleibt die Wahrscheinlichkeit gering, dass die beschriebene Methode zum Erfolg führt. Da Microsofts Active Directory jedoch per Default so konfiguriert ist, dass es jedes Benutzerkonto nach zehn Fehlversuchen bei der Passworteingabe für 30 Minuten sperrt, hat man den Effekt, dass sich Benutzer eines Netzwerkes nicht mehr anmelden können.

Solche Effekte stören den geregelten Betriebs eines Netzwerks. Oft ist die Business Continuity nicht gewährleistet. Nicht nur im zivilen Bereich gibt es Ausfälle. So konnten französische Kampfflugzeuge nicht starten, weil es wegen eines Conficker-Befalls nicht möglich war, die Flugpläne herunterzuladen. Auch bei der Bundeswehr wurden hunderte von Rechnern infiziert.

Die beiden Vorfälle, die die Landesverteidigung betreffen, ereigneten sich nicht etwa kurz nach dem Jahreswechsel, sondern Anfang Februar, als letztendlich jeder, der sich mit Computersicherheit beschäftigt, etwas über den Conficker-Wurm gelesen oder gehört haben musste. Das wirft die Frage auf, wieso so viele Behörden und Unternehmen einen Patch, der im Oktober erschienen ist, nicht längst eingespielt haben – spätestens seitdem bekannt ist, dass ein Schädling umgeht, der die Sicherheitslücke MS08-067 ausnutzt.

Neueste Kommentare 

2 Kommentare zu Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Kommentar hinzufügen
  • Am 21. Februar 2009 um 11:32 von G. Junker

    "never touch a running system" ist seit midestens 10 Jahren tot.
    Bitte verbreitet nich auch noch diesen Unsinn von "never touch a running system". Dies galt in den Zeiten der Großrechner oder PC, als diese nicht vernetzt waren.

    Wir sehen heute, wie schnell Lücken ausgenutzt werden (oft schon am gleichen Tag). Wer nach dem Motto "never touch a running system" arbeitet, handelt grob fahrlässig.

    Für alle Softwarehersteller, welche Probleme mit Ihrer Software nach einem Update haben, haben ihre Hausaufgaben nicht gemacht.

    Kann ich ein Update wegen einer Software nicht einspielen, so ist der Softwarehersteller für Folgeschäden haftbar. Für mich ein Grund, die Software zu wechseln oder den Hersteller zu Änderungen zu zwingen, was leider nur langwierig und gerichtlich geht.

    Also liebe Redaktion, verbreitet nicht mehr so einen Unfug.

    "never touch a running system" ist seit midestens 10 Jahren tot.

    • Am 28. Februar 2009 um 18:57 von ossobussi

      AW: "never touch a running system" ist seit midestens 10 Jahren tot.
      Wer das glaubt hat anscheinend die Entwicklung 10 Jahre verschlafen !
      Hallo waky waky ! Sputnik an Erde : Bitte sich in der real existierenden Welt melden !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *