04.08.2009, 11:01 Uhr
Wo ist Conficker geblieben?
Im April 2009 beherrschte Conficker die Schlagzeilen - nun ist es etwas ruhiger um den Schädling geworden. Anlässlich der Security-Konferenz Black Hat 2009 berichtet F-Secure-Mann Mikko Hyppönnen über den Stand der Ermittlungen.
Auf der Black-Hat-Konferenz wollte Hyppönnen eigentlich darüber berichten, welche Fortschritte bei der Untersuchung des Schädlings Conficker erreicht worden sind. Nach einem Hinweis seiner Kollegen von der Conficker Working Group hat der F-Secure-Mann seinen Vortrag jedoch gekürzt, um die weiteren Ermittlungen nicht zu gefährden.
Hyppönnen ist Leiter der Malware-Forschung beim finnischen Sicherheisspezialisten F-Secure und Mitglied der Conficker Working Group. Diese Gruppe besteht aus Sicherheitsfachleuten diverser Antivirus- und Sicherheitsfirmen. Bei der Anmeldung seines Vortrags zum Stand der Erkenntnisse über Conficker (Alias: Downadup, Kido) hatte Hyppönnen vor sechs Monaten angenommen, dass Conficker im Juli 2009 längst Geschichte sein würde. Doch weit gefehlt - die Conficker-Gang ist noch in Freiheit und das Conficker-Botnet wächst weiter.
Conficker-Urheber sitzen offenbar in der Ukraine
Klar scheint zu sein, dass die Conficker-Macher in der Ukraine zu suchen sind. Darauf weist etwa ein früherer Wurm hin, der die gleiche Handschrift trägt. Dieser vermied es Rechner in der Ukraine zu infizieren, um nicht die ukrainische Polizei auf den Plan zu rufen. Hyppönnen offenbarte einige technische Details über Conficker, welche die Conficker Working Group in den letzten Monaten heraus gefunden hat. So ist der Schädling eines der ersten Programme überhaupt, das den neuen Standard MD6 für kryptografische Prüfsummen benutzt. Etwa vier Wochen nach Fertigstellung des Standards wurde MD6 in Conficker.B integriert. Auch ein Sicherheits-Update für MD6, das im Februar 2009 veröffentlicht wurde, haben die Conficker-Programmierer 1:1 in spätere Versionen übernommen.
Das Conficker-Botnet ist recht autonom konzipiert. Es benutzt P2P-Techniken, die ohne zentralen Kommando-Server auskommen. Der Schädling breitet sich weiter aus und vergrössert das Botnet täglich, ohne dass die Conficker-Gang etwas dafür tun muss. Schätzungen der Conficker Working Group gehen von mehr als fünf Millionen Zombie-Rechnern aus. Das Botnet wird jedoch derzeit nicht genutzt. Möglicherweise haben die Täter es längst sich selbst überlassen und bauen ein neues Botnet auf, das weniger Aufmerksamkeit erregt.
