Grundlagen, Hintergrund und Information
Conficker - das größte Botnet aller Zeiten
Conficker.C – besser, härter, gemeiner
Die dritte aktuelle Variante von Conficker ist Version C. Erstmals entdeckt wurde diese Variante des Wurms im März 2009. Die neue Variante scheint weniger auf die Weiterverbreitung ausgerichtet zu sein, sondern soll das bestehende Botnetz anscheinend absichern. Unterstrichen wird diese Vermutung unter anderem durch die Tatsache, dass Conficker.C keinerlei zusätzliche Verbreitungsanstrengungen unternimmt. Um die befallenen Systeme zu sichern, bedient sich der Wurm mehrere Taktiken.
Conficker.C ist deutlich aggressiver im Umgang mit Sicherheitstools. Die neue Variante sucht auf den befallenen Systemen aktiv Strings oder Prozesse, die auf ein Sicherheitstool hinweisen. Entdeckt der Wurm ein solches Programm, etwa Wireshark oder ein Anti-Virus-Tool, sendet Conficker.C ein Kill-Signal an den Prozess.
Zusätzlich haben die Entwickler auf die Entdeckung ihres Domain-Algorithmus reagiert. Die neue Conficker-Variante erzeugt keine 250 Domains mehr pro Tag, sondern 50.000 Domain-Namen. Aus diesen pickt sich der Wurm 500 Stück aus, die er dann zu kontaktieren versucht.
Die dritte Neuerung ist, dass die Conficker-Schreiber den Wurm gegen weitere Angriffe abhärten. Dazu wurden sowohl die HTTP-Infektionswege als auch die Verbindungen über P2P abgesichert und gegen Übernahmen geschützt. Die Tabelle zeigt die Unterschiede der drei Conficker-Varianten:
Wurm-Version |
Conficker.A |
Conficker.B |
Conficker.B |
Verbreitung |
MS08-067 |
MS08-067 |
Verbreitungsmechanismen entfernt |
Kontrolle |
HTTP-Verbindungen |
HTTP-Verbindungen |
verbesserte HTTP-Verbindungen |
Schutzfunktionen |
keine |
einige DNS-Lookups werden unterbrochen, |
einige DNS-Lookups werden unterbrochen, |