Wurm beendet Prozesse

Conficker nimmt sich Security-Programme vor

Conficker wird immer hinterhältiger. Die aktuellste Version beendet bekannte Sicherheits-Tools, wenn sie die entsprechenden Prozesse auf einem System findet.

Statt wie bisher täglich 250 Domainnamen kontaktiert der neue W32.Downadup.B jetzt bis zu 50.000 Domainnamen pro Tag um Befehle zu empfangen und Code nachzuladen. Zudem wählt der neue Conficker-Algorithmus eine von 116 möglichen Domain-Suffixes aus.

Nach Meinung der Experten von Symantec scheint sich bei Conficker damit ein Strategiewechsel anzubahnen. Anstatt zu versuchen, immer neue Rechner zu infizieren, wollen die Conficker-Urheber anscheinend die Effizienz der bereits mit Conficker infizierten Rechner steigern. Obendrein versucht die neue Conficker-Variante Antivirensoftware und andere Schutz- und Überwachungsprogramme zu beenden, indem sie deren Prozesse stoppt. Konkret betrifft das Prozesse, in denen folgende Namensbestandteile vorkommen:

wireshark
• unlocker
• tcpview
• sysclean
• scct_
• regmon
• procmon
• procexp
• ms08-06
• mrtstub
• mrt.
• mbsa.
• klwk
• kido
• kb958
• kb890
• hotfix
• gmer
• filemon
• downad
• confick
• avenger
• autoruns

Eine der Gegenmaßnahmen gegen den Wurm hat das Microsoft Security Response Center in seinem Blog eine ZIP-Datei mit Adressen zur Verfügung gestellt. Diese Adressen wird der Wurm bis zum 30. Juni 2009 abfragen, sie sollten also in jedem Fall geblockt werden. Derzeit sind sich die Sicherheits-Firmen noch nicht einig, was die Betreiber des Botnets eigentlich planen. (PC-Welt/mja)