Grundlagen, Hintergrund und Information

Conficker - das größte Botnet aller Zeiten

Update: 1. April 2009 - Viel Hype um nichts

Wie bereits eingangs erwähnt, haben die drei Conficker-Varianten bislang wenig unternommen. Zuerst hat sich der Wurm massiv verbreitet, anschließend wurden die befallenen Systeme gesichert. Durch den Algorithmus konnten Malware-Analysten herausfinden, dass sich Conficker am 1. April 2009 neue Informationen holt. An diesem Datum erzeugte Conficker.C pro Tag 50.000 Domainnamen und prüfte anschließend bei 500 Domains, ob dort neue Anweisungen oder Programm-Updates vorlagen.

Tatsächlich erschienen neue Versionen von Conficker - allerdings erst Tage nach dem eigentlich angekündigten Termin. Außerdem unterschied sich die Verbreitung deutlich vom früheren Vorgehen. Vor allem die Verbreitung über P2P wurde von den Kriminellen genutzt.

Diverse Unternehmen haben versucht, die Reaktionen des Wurms nachzustellen. Allerdings war dies nicht so einfache, da Conficker die aktuelle Systemzeit mit mehreren Webseiten abgleicht. Zudem waren im Wurm selbst noch keine Payload oder Anweisungen vorhanden.