Mit eigenen Waffen gegen den Schadcode

Wurm Downadup: F-Secure schlägt zurück

Zurzeit wütet der Wurm Downadup im Internet. Die Sicherheitsexperten von F-Secure versuchen diesen nun mit seinen eigenen Waffen zu bekämpfen.

Der Windows-Wurm Downadup versucht die Schwachstelle MS08-067 auszunutzen, TecChannel berichtete. Die Sicherheitsexperten von F-Secure haben bereit zirka 2500 Domänen-Adressen in zwei Blacklisten zur Verfügung gestellt, die Administratoren unter Umständen blockieren wollen (eins, zwei). Ebenso haben sich die Experten genauer mit dem Wurm beschäftigt.

Ein relativ komplizierter Algorithmus generiert täglich viele Domänen-Adressen. Für die guten Jungs ist es somit unmöglich, diese schnell alle abschalten zu lassen. Zudem viele der Adressen niemals registriert werden. Die bösen Jungs brauchen lediglich die Voraussage einer Domäne, müssen diese registrieren und die infizierten Rechner kontaktieren diese Adresse. Nun dachte sich F-Secure, dass man dies auch kann. Die Sicherheitsexperten registrierten einige der durch den Algorithmus generierten Adresse für sich selbst. Somit kontaktieren infizierte Rechner die Domänen in der Hand von F-Secure.

Man werde natürlich nicht versuchen die infizierten Rechner zu manipulieren. Ebenfalls werde man diese nicht einfach desinfizieren, da dies in vielen Ländern ebenfalls als illegaler Eingriff gilt. Allerdings gebe diese Methode einen guten Einblick, wie viele Rechner überhaupt betroffen sind. Nach Einschätzung der finnischen Sicherheits-Experten seien weltweit zirka 2.395.000 Rechner infiziert. Dies sei allerdings eine konservative Zählung. Die wirkliche Nummer sei sicher höher. Ebenso stellen die Experten eine Auflistung nach Ländern zur Verfügung. In Deutschland habe man Kontakt von 4392 IP-Adressen erhalten. Da der Wurm ganze Netzwerke infiziert könne seien viele dieser Adressen sich nur die WAN-Adressen der Gateways. Somit könnten auch über 4000 Firmen infiziert sein. Spitzenreiter ist China (38277) gefolgt von Brasilien (34814) und Russland (24526).

Downadup verstecke noch eine andere Gefahr. Aus den ganzen infizierten Rechnern ließe sich laut F-Secure auch ein sehr großes Botnet aufziehen. Windows-Updates gibt es schon seit Oktober. Sofern noch nicht geschehen sollten Administratoren diese schleunigst einspielen. Ist dies via automatischer Updates nicht möglich, können Sie die Flicken manuell installieren: Windows XP, Windows Server 2003. (jdo)