Neue Conficker-Variante aufgetaucht

Der Wurm wendet eine modifizierte Methode des In-Memory-Patchings an. Auch sucht er neue Möglichkeiten, um Schadcode nachzuladen. Die Domain-Registries sperren die alten Verbreitungswege.

Im Internet ist eine neue Variante des Conficker-Wurms aufgetaucht. Die Bezeichnung der neuen Variante ist allerdings verwirrend. Während SRI International die neue Variante in einer Analyse als Conficker.B++ bezeichnet, verwendet Microsoft den Namen Conficker.C im Technet-Blog. Diesen Namen haben einige Antiviren-Hersteller, zum Beispiel Panda Security, allerdings bereits einer älteren Variante zugeordnet.

Die älteren Varianten haben kurioserweise durch einen In-Memory-Patch der Datei Netapi32.dll die Lücke MS08-067, durch die der Wurm auf einen Rechner gelangen kann, selbst geschlossen – vermutlich, um die "Konkurrenz" von infizierten Rechnern fernzuhalten. Die neue Variante hingegen erlaubt das Nachladen von Schadcode auf diesem Weg, wenn eine bestimmte Signatur vorhanden ist. Darüber hinaus öffnet Conficker.B++ eine Named Pipe, über die weitere Malware eingeschleust werden kann.

Das Auftauchen dieser neuen Variante ist offensichtlich eine Reaktion darauf, dass den Autoren des Conficker-Botnetzes mit den alten Versionen der Zugang zu verseuchten PC weitgehend verwehrt bleibt, da die alten Varianten Schadcode von vordefinierten URLs nachzuladen versuchen. Weil diese URLs bekannt sind, haben die Internet-Registries die zugehörigen Domains bereits gesperrt.

Das bedeutet jedoch nicht, dass alle Varianten vor Conficker.B++ nun harmlos sind. In Firmennetzen richten auch die älteren Varianten gravierende Schäden an, etwa das Auslösen der Teergrubensperre für Benutzerkonten und Fehlverhalten bei der DNS-Auflösung.

Themenseiten: Hacker

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Neue Conficker-Variante aufgetaucht

Kommentar hinzufügen
  • Am 28. Februar 2009 um 16:19 von D. Kaletsch

    Conficker II
    Schon wieder eine Medien-Hype wie bei Conficker I? Es ist ja nicht einmal bekannt, was die krimellen Programmierer der Schädlinge bezwecken. Und: Bereits Ende Oktober 2008 war Conficker I für umsichtige PC-Benutzer keine Gefahr mehr. Nicht mehr als 750 Tausend PC´s sollen bis heute weltweit betroffen sein, die meisten davon sind Firmenrechner in den USA; keineswegs aber "mehrere Millionen", wie ein finnischer Hersteller von Virenscannern . Wozu die Aufregung? Es scheint, als werde die Gefahr künstlich aufgebauscht, jedenfalls verberitet sich der Wurm schneller über Pressemeldungen als über infizierte PC´s.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *