Black Hat 2009

Was wurde eigentlich aus Conficker?

Fünf Millionen Zombies

Hypponen offenbarte einige technische Details über Conficker, die die Conficker Working Group in den letzten Monaten heraus gefunden hat. So ist Conficker eines der ersten Programme überhaupt, das den neuen Standard MD6 für kryptografische Prüfsummen benutzt. Etwa vier Wochen nach Fertigstellung des Standards wurde MD6 in Conficker.B integriert. Auch ein Sicherheits-Update für MD6, das im Februar 2009 veröffentlicht wurde, haben die Conficker-Programmierer 1:1 in spätere Versionen übernommen.

Ausbreitung: Conficker kann viele Wege nutzen.
Ausbreitung: Conficker kann viele Wege nutzen.

Das Conficker-Botnet ist recht autonom konzipiert. Es benutzt P2P-Techniken, die ohne zentralen Kommando-Server auskommen. Der Schädling breitet sich weiter aus und vergrößert das Botnet täglich, ohne dass die Conficker-Gang etwas dafür tun muss. Schätzungen der Conficker Working Group gehen von mehr als fünf Millionen Zombie-Rechnern aus. Das Botnet wird jedoch derzeit nicht genutzt. Möglicherweise haben die Täter es längst sich selbst überlassen und bauen ein neues Botnet auf, das weniger Aufmerksamkeit erregt.

P2P: die Funktionsweise einer Peer-to-Peer-Infektion. (Quelle: Symantec)
P2P: die Funktionsweise einer Peer-to-Peer-Infektion. (Quelle: Symantec)
Foto: Firma

Auf der Website der Black Hat Konferenz finden Sie die Materialien zu den meisten Vorträgen zum Download. (PC-Welt/mja)