Statt wie bisher täglich 250 Domainnamen kontaktiert der neue W32.Downadup.B jetzt bis zu 50.000 Domainnamen pro Tag um Befehle zu empfangen und Code nachzuladen. Zudem wählt der neue Conficker-Algorithmus eine von 116 möglichen Domain-Suffixes aus.
Nach Meinung der Experten von Symantec scheint sich bei Conficker damit ein Strategiewechsel anzubahnen. Anstatt zu versuchen, immer neue Rechner zu infizieren, wollen die Conficker-Urheber anscheinend die Effizienz der bereits mit Conficker infizierten Rechner steigern. Obendrein versucht die neue Conficker-Variante Antivirensoftware und andere Schutz- und Überwachungsprogramme zu beenden, indem sie deren Prozesse stoppt. Konkret betrifft das Prozesse, in denen folgende Namensbestandteile vorkommen:
• wireshark
• unlocker
• tcpview
• sysclean
• scct_
• regmon
• procmon
• procexp
• ms08-06
• mrtstub
• mrt.
• mbsa.
• klwk
• kido
• kb958
• kb890
• hotfix
• gmer
• filemon
• downad
• confick
• avenger
• autoruns
Eine der Gegenmaßnahmen gegen den Wurm hat das Microsoft Security Response Center in seinem Blog eine ZIP-Datei mit Adressen zur Verfügung gestellt. Diese Adressen wird der Wurm bis zum 30. Juni 2009 abfragen, sie sollten also in jedem Fall geblockt werden. Derzeit sind sich die Sicherheits-Firmen noch nicht einig, was die Betreiber des Botnets eigentlich planen. (PC-Welt/mja)