Conficker - das größte Botnet aller Zeiten

UPnP und Brute Force als Hilfsmittel

Router stellen für viele Würmer ein nicht zu unterschätzendes Problem dar. Denn per NAT teilen sie meist das private LAN von einem öffentlichen Netz. Dadurch können sich externe Systeme nicht ohne Weiteres mit lokalen Rechnern verbinden. Vor allem im Heimumfeld schafft das eine nicht zu unterschätzende Barriere. Conficker hat allerdings auch hier einen Weg gefunden: Der Wurm nutzt einfach den Standard Universal Plug and Play. Er ist heutzutage in den meisten Routern und Betriebssystemen vorhanden und aktiviert.

UPnP ermöglicht es Geräten, andere Systeme im Netzwerk ohne einen zentralen Server zu finden. Außerdem kann ein System dadurch automatisch die benötigten Ports am Gateway öffnen lassen und Anfragen aus dem Netz an das entsprechende lokale System weiterleiten.

Per UPnP findet Conficker den lokalen Gateway. Diesem teilt der Wurm mit, dass er einen bestimmten Port öffnen und weiterleiten soll. Über diesen Port findet anschließend die komplette Kommunikation mit anderen infizierten Rechnern statt.

Im LAN verwendet der Wurm noch eine weitere Technik, um sich fortzupflanzen. Dazu kopiert er sich über die administrative Netzwerkfreigabe „$ADMIN“ von Windows-PC zu Windows-PC. Meistens benötigt der Wurm dazu allerdings einen gültigen Benutzernamen samt Passwort. In einem ersten Versuch probiert Conficker die Zugangsdaten des aktuell angemeldeten Nutzers aus. Sind diese ungültig, weicht der Wurm auf einen Brute-Force-Angriff aus.

Dazu testet Conficker mehr als 250 allgemeine Kombinationen, etwa „Admin Admin“, „password“ oder „1234“. Findet der Wurm eine passende Kombination, kopiert er sich über die administrativen Rechte in den Ordner System32. Anschließend erstellt er einen zeitgesteuerten Auftrag, der die soeben kopierte Datei ausführt. Diesen Vorgang wiederholt Conficker alle 40 Minuten.