Sophos warnt vor falschen Conficker-Entfernungstools

Sophos warnt vor so genannten Scareware-Angriffen von Trittbrettfahrern, die die Angst der Anwender vor einer Infektion mit dem Wurm Conficker ausnutzen wollen. Dazu bringen sie gefälschte Entfernungstools in Umlauf.

Nutzer erhalten typischerweise zunächst eine Mitteilung, dass ihr Computer mit einem Virus infiziert sei. Anschließend werden sie aufgefordert, ein vermeintliches Antivirenprogramm zu kaufen, mit dem sich das Problem angeblich beheben lässt. In Wirklichkeit wollen die Angreifer auf diese Weise aber nur Geld für die gefälschte Software ergaunern oder weiteren Schadcode auf den Rechner laden. Sophos hat nach eigenen Angaben erste Websites entdeckt, auf denen gefälschte Entfernungstools angeboten werden.

Nach Ansicht zahlreicher Sicherheitsexperten wird der Conficker-Wurm am 1. April damit beginnen, täglich aus bis zu 50.000 Internet-Domains 500 Websites auszuwählen und zu kontaktieren, um an weitere, heimlich hinterlegte Befehle zu gelangen. „Wir rechnen daher mit einem deutlichen Anstieg von Scareware-Attacken“, sagt Christoph Hardy, Security Consultant bei Sophos. Internetnutzer sollten sich vor solch kriminellen Aprilscherzen in Acht nehmen und auf derlei Angebote nicht reagieren.

Bereits im März hatte der Wurm von jedem infizierten PC aus auf bestimmte Internetseiten zugegriffen, um weitere Anweisungen nachzuladen, die seine Programmierer heimlich auf seriösen Websites platziert hatten. Bislang kontaktierte Conficker hierfür rund 250 Domains pro Tag. Die Domain-Namen werden dabei automatisch aus algorithmisch berechneten Buchstabenfolgen gewählt.

Ab 1. April soll sich die Zahl der täglich ermittelten Domains auf bis zu 50.000 erhöhen. Auf 500 davon soll Conficker dann pro Tag zugreifen und prüfen, ob dort neue Instruktionen hinterlegt sind. Zudem könnte Conficker eine Peer-to-Peer-Kommunikation zwischen den infizierten Rechnern starten, um sich auch auf diese Weise zu aktualisieren. Noch ist offen, ob und wann genau der Wurm Schadcode aus dem Internet herunterladen und mit welchen Funktionen er danach ausgestattet sein wird.

Um sich vor einer Conficker-Infektion sowie weiteren Cyberattacken zu schützen, empfiehlt Sophos die Installation aller aktuellen Windows-Patches und einen automatisch aktualisierten Antivirenschutz. Zudem sollten Administratoren ihre Software zur Website-Erstellung stets auf dem neuesten Stand halten und auf einen abgesicherten Serverzugriff achten.