Die Angriffe über die von Microsoft im Oktober durch einen außerplanmäßigen Patch behobene Schwachstelle im RPC-Service nehmen weiter zu. Das berichten sowohl Microsofts Malware Protection Center als auch Microsofts Security Response Center.

Der neue Wurm

Microsoft bezeichnet den neuen Wurm als Worm:Win32/Conficker.A. Nach der erfolgreichen Installation patcht der Wurm die Schwachstelle im Speicher, um Konkurrenten auszusperren. Interessanterweise versucht der Wurm, seinen Standort fest zu stellen - und er vermeidet es, Rechner in der Ukraine zu infizieren. Ob das bedeutet, das die Urheber aus der Ukraine stammen, ist nicht bekannt, der Verdacht liegt aber nahe. Man möchte wahrscheinlich zu Hause Ärger mit den Behörden vermeiden.

Außer der Installation einer Hintertür und der Verbreitung im lokalen Netz versucht der Wurm, neuen Code nachzuladen. Das soll über zwei verschiedene Methoden erreicht werden: Nach dem 25. November 2008 wird auf eine zufällig erzeugte IP-Adresse zugegriffen, nach dem 1. Dezember 2008 auf die Domain trafficconverter.biz.

Trojaner mit Familienanschluss

Auch verschiedene Trojaner, die von Microsoft als Backdoor:Win32/IRCbot.BH bezeichnet werden, versuchen u.a. die RPC-Schwachstelle zu ihrer Verbreitung auszunutzen. Die Schädlinge installieren eine Hintertür und verbinden sich mit einem IRC-Server, um sich einem Botnet anzuschließen.

Weitere Beschreibungen

Wie üblich, gibt es für ein und denselben Schädling meist mehrere Namen (warum können sich die Hersteller von Antivirensoftware nicht endlich auf eine einheitliche Namensgebung einigen?) und abweichende Beschreibungen. Im Handler's Diary des ISC gibt es einen Übersichtsartikel dazu: Microsofts Conficker.A heißt z.B. bei Symantec W32.Downadup, bei F-Secure Worm:W32/Downadup.A und bei CA Win32/Conficker.A.

Der Wurm im Blog

Auch in den Blogs verschiedener Hersteller gibt es inzwischen Einträge zu den neuen Angriffen. Der Eintrag von Trend Micro enthält eine Grafik, die die Verbreitung des dort WORM_DOWNAD.A genannten Schädlings darstellt. Dabei wird spekuliert, ob dieser Wurm im Zusammenhang mit einem weiteren aktuell aktiven Wurm steht, WORM_NETWORM.C, der ebenfalls die RPC-Schwachstelle ausnutzt.

Im Blog der McAfee Avert Labs gibt es einen Eintrag samt nicht ganz ernst gemeintem Fahndungsfoto. McAfee nennt den Wurm W32/Conficker.worm. Ein Absatz im Blogbeitrag gibt mir zu denken: "As many of us enter the holiday season of Thanksgiving it's vital to ensure your systems are patched and up to date while you're enjoying your time off. Malware doesn't break for holidays!" Sollte das von den Kriminellen berücksichtigt worden sein? Wie wird das dann wohl zu Weihnachten? Wir haben noch einen Microsoft-Patchday vor uns, der vielleicht weitere kritische Schwachstellen enthüllt. Gibt es dann zu Weihnachten als besondere Bescherung eine neue Wurmwelle?

Im Blogbeitrag, von Symantec gibt es u.a. eine Übersicht über die Entwicklung der Exploits für die RPC-Schwachstelle und über die Verteilung der Zugriffe auf den vom Wurm zur Verbreitung genutzten TCP-Port 445.

Fazit

Der Wurm ist los - es ist also allerhöchste Zeit, die Patches aus Microsofts Security Bulletin MS08-067 zu installieren, sofern das noch nicht geschehen ist. Außer man lebt in der Ukraine, um die macht der Wurm ja einen Bogen. Aber dafür gibt es ja noch die Trojaner, und die schlagen überall zu.

Carsten Eilers