Conficker - das größte Botnet aller Zeiten

Neu: Conficker D und E

Die Entwickler der Malware waren 2009 nicht untätig. Nachdem Conficker.C verteilt war, folgten die Varianten Conficker.D und Conficker.E. Beiden ist gemeinsam, dass sie deutlich mehr auf die Verteilung über P2P-Netzwerke setzen. Außerdem haben die Macher Maßnahmen gegen Anti-Viren-Programme deutlich verschärft. Beide Malware-Varianten prüfen die laufenden Prozesse auf Anti-Malware-Programme und schicken den jeweiligen Prozessen im Abstand von einer Sekunde einen Kill-Befehl. Die Befehle zielen dabei nicht nur Anti-Viren-Programme, sondern auch auf Patch- oder Diagnose-Programme. Wie schon zuvor manipuliert die Malware den DNS Lookup sowie die Auto-Update-Funktion von Windows. Conficker.E nutzte zur Verbreitung auch wieder die NetBIOS-Schwachstelle aus MS08-067, Conficker.D verzichtete darauf.

Im Video von Symantec erklärt der Forscher Ben Nahorney wie die verschiedenen Versionen von Conficker zusammenarbeiten und wie der Update-Vorgang abläuft.

Wurm-Version	Conficker.D	Conficker.E
Verbreitung	Keine lokale Updates über P2P und HTTP	NetBIOS (MS08-067) Updates über P2P und HTTP
Update und Anweisungen	HTTP: Wurm prüft täglich 500 von 50000 generierten Domains P2P: Wurm scannt per UDP, erhält Anweisungen und Updates über TCP	NetBIOS-Push: Wurm prüft das lokale Netzwerk auf anfällige Hosts, patcht notfalls MS08-67 um eine erneute Infektion zu ermöglichen P2P: Wurm scannt per UDP, erhält Anweisungen und Updates über TCP
Schutzfunktionen	DNS-Lookups werden unterbrochen und im Speicher manipuliert, Auto-Update wird unterbrochen, Safe-Mode wird deaktiviert, Sicherheitsprozesse werden beendet	DNS-Lookups werden unterbrochen, Auto-Update wird unterbrochen, Sicherheitsprozesse werden beendet