Channel Security

Der RPC-Wurm 'Conficker' ist in aller Munde und auf vielen Rechnern. Was es damit eigentlich auf sich hat, erfahren Sie hier.

Vorgeplänkel

Alles fing ganz harmlos an: Am 23. Oktober patchte Microsoft außer der Reihe eine kritische Schwachstelle im RPC-Service. Laut Microsoft wurde die Schwachstelle zuvor schon für gezielte Angriffe ausgenutzt, einen sich darüber verbreitenden Wurm gab es aber nicht. Auf Grund der Art der Schwachstelle wurde sie von Microsoft aber als grundsätzlich "wormable" eingestuft.

Sophos meldete gleichzeitig einen Schädling, der sich zwar nicht über die Schwachstelle ausbreitete, aber von Shellcode nachgeladen wurde: Troj/Gimmiv-A. Man verglich diese Schwachstelle dabei mit der, über die sich der Sasser-Wurm ausbreitete.

Statt Wurm erst mal ein Netzwerkfähiger Trojaner

Kurz darauf begann Gimmiv.A, sich zu verbreiten. Aufgrund der Art dieser Verbreitung, im Internet als Trojaner, im lokalen Netz als Wurm, wurde er von Treatexperts als 'Netzwerkfähiger Trojaner' bezeichnet. Parallel dazu wurden eine Reihe von Beispiel-Exploits veröffentlicht, so dass mit weiteren Schädlingen zu rechnen war.

Los gehts: Conficker betritt die Bühne

Ende November begann ein zweiter Wurm, sich über die RPC-Schwachstelle zu verbreiten. Darüber, wie er heißen sollte, war man sich bei den Herstellern der Antivirensoftware mal wieder nicht einig, so dass am Ende zwei Namen übrig blieben: 'Downadup' oder 'Conficker', meist mit Kennungen davor und/oder dahinter.

Im Dezember blieb es relativ ruhig um den Wurm, auch die RPC-Schwachstelle selbst fiel nicht weiter auf. Eigentlich sah alles nach Routine aus: Der Patch war seit einem Monat verfügbar, als der Wurm das erste Mal auftauchte, also sollte er eigentlich nicht besonders viele Opfer finden.

Irgendwann zum Jahreswechsel fiel der Startschuss

Anfang Januar sah die Welt plötzlich ganz anders aus. Sowohl F-Secure als auch Symantec meldeten eine stark zunehmende Verbreitung von Conficker-Varianten. Inzwischen wurde die neue Version Downadup.B bzw. Downadup.AL um zwei weitere Verbreitungsroutinen erweitert: Die neuen Varianten versuchen, sich auf nur mit schwachen Passwörtern geschützte Netzwerklaufwerke zu kopieren und verbreiten sich außerdem über die AutoRun-Funktion für USB-Sticks und andere Wechselmedien - inzwischen sogar auf deutsch. Dabei wird auch auf Social Engineering zurückgegriffen, und dem Benutzer eine manipulierte Dialogbox präsentiert.

Die Verbreitung in Zahlen und Bildern

Am 30. November wurden von Trend Micro mehr als 500.000 befallene Rechner gemeldet. Wie diese Zahl ermittelt wurde, ist nicht bekannt. Am 13. Januar hat F-Secure erste Zahlen veröffentlicht, deren Entstehung bekannt ist: Man hat dort einige der vom Wurm kontaktierten Domains registriert und konnte dadurch die Verbindungsversuche zählen. Mehrere Hundertausend unterschiedliche IP-Adressen, viele davon für hinter Firewalls oder NAT-Routern liegende lokale Netze stehend, wurden mit einigen nicht genannten Tricks zu 2.395.963 befallenen Rechner hochgerechnet, wobei das eine vorsichtige Rechnung war. Am 14. Januar waren es schon 3.521.230 infizierte Rechner weltweit - innerhalb eines Tages waren über 1 Million neue Opfer hinzugekommen. Am 16. Januar wurden dann über 8,9 Millionen infizierte Rechner gemeldet. Bei der Ermittlung dieser Zahlen kam der Wurm den Forschern entgegen: Bei jedem Verbindungsversuch überträgt er auch die Anzahl der seit dem letzten Neustart neu infizierten Rechner.

Symantec hat Weltkarten mit der Verbreitung und Infektionsrate veröffentlicht. Dort ist man der Ansicht, die übertragene Anzahl der vom Wurm neu infizierten Rechner sei nicht für die Berechnung der insgesamt befallenen Systeme brauchbar. Eine weitere Weltkarte mit der Verbreitung des Wurms gibt es von Trend Micro.

Ursachen für die Verbreitung

Die Ursache für die weite Verbreitung dieses Wurms sieht Trend Micro in falschen Security-Policies: Der Wurm nutzt 3 Verbreitungswege: Die RPC-Schwachstelle, USB-Sticks mit AutoRun-Funktion und Netzwerklaufwerke mit schwachen Passwörtern. Für die RPC-Schwachstelle steht ein Patch zur Verfügung - warum wurde der in so vielen Fällen nicht installiert? AutoRun-Schädlinge auf USB-Sticks sind seit dem letzten Jahr auf dem Vormarsch - warum wurde die AutoRun-Funktion nicht deaktiviert bzw. entsprechende Schutzprogramme nicht installiert? Und schwache Passwörter sollte es ja nun erst recht nicht geben. Stimmt vollkommen.

Wurm ohne Aufgabenbereich?

"Welchen Zweck dient der Wurm Conficker?" - das ist die große Preisfrage. Außer sich zu verbreiten, macht er zur Zeit gar nichts. Das ist äußerst ungewöhnlich. Schon am 30. November wurde im Blog von Trend Micro vermutet, der Wurm sei eine Schlüsselkomponente eines neuen Botnets. Seitdem gibt es keine neuen Informationen. Der Wurm ist zwar in der Lage, weitere Schadsoftware von einem Webserver nachzuladen, tut das bisher aber nicht. Außerdem hat er die Möglichkeit, im lokalen Netz Daten über ein eigenes Peer-to-Peer-Netzwerk auszutauschen.

Detailanalysen

Die verschiedenen Hersteller von Antivirenprogrammen sind natürlich laufend mit der Analyse der verschiedenen Wurm-Varianten beschäftigt. Einige Ergebnisse ihrer Arbeit: Die McAfee Avert Labs haben in einem Exemplar Teile einer Payload des Metasploit-Frameworks gefunden. Im Blog von Symantec wurde eine Serie mit Hintergrundberichten gestartet. Bisher sind vier Folgen erschienen: 'Downadup: Peer-to-Peer Payload Distribution', 'Downadup: Geo-location, Fingerprinting, and Piracy', 'Downadup: A Lock with No Key' und 'Downadup: Small Improvements Yield Big Returns'.

Wie wird man den Wurm los?

Ich vermute mal, die sichere Antwort kennt jeder, will sie aber nicht hören. Trotzdem kommt sie zuerst: Die einzig wirklich sichere Lösung, um ein kompromittiertes System zu reinigen, besteht in einer Neuinstallation. OK, das will niemand machen, also nimmt man ein Tool zur Entfernung des Schädlings. Je nach Vertrauen in den jeweiligen Hersteller gibt es verschiedene, z.B. Microsofts Malicous Software Removal Tool, F-Secures F-Downadup Removal Tool oder Symantecs W32.Downadup Removal Tool.

Um zu verhindern, das der Wurm Software nachlädt, kann der Zugriff auf die dafür verwendeten Domains blockiert werden. F-Secure hat bereits mehrmals Listen mit den verwendeten Domainnamen veröffentlicht: Am 6. Januar und am 9. Januar wurde jeweils eine Liste mit bisher verwendeten Domainnamen veröffentlicht. Danach konnte der Algorithmus ermittelt werden, mit dem der Wurm die zu kontaktierenden Domainnamen erzeugt, so dass am 12. Januar die Domainnamen für den 13.-16. Januar und am 16. Januar die für den 17.-31. Januar veröffentlicht werden konnten. Im Handler's Diary des ISC wird aber zu Recht auf die Nebenwirkungen einer unbedachten Sperrung anhand der IP-Adressen hingewiesen.

Gegenmaßnahmen

Wenn Sie es bisher nicht gemacht haben: Installieren Sie den Patch aus dem Security Bulletin MS08-067.

Um die Verbreitung über Netzwerklaufwerke zu verhindern, müssen dafür nur sichere Passwörter gewählt werden. Achtung: Nur, weil in einigen Beschreibungen des Wurm eine Liste mit den von dieser Wurm-Variante durchprobierten Passwörtern enthalten ist, bedeutet das nicht, das alle anderen Passwörter sicher sind. Schon die nächste Wurm-Variante kann weitere oder andere Passwörter ausprobieren.

Vor einer Verbreitung mit Hilfe der AutoRun-Funktion für USB-Sticks hilft die Deaktivierung dieser Funktion. Dabei ist zu beachten, das die von Microsoft verbreitete Anleitung zum Deaktivieren der AutoRun/AutoPlay-Funktion von Windows fehlerhaft, ist, sie verhindert nur den automatischen Start beim Anschließen eines entsprechenden Geräts, nicht beim Anklicken seines Icons. Microsoft hat den Fehler bestätigt und auf einen Knowlede Base Artikel hingewiesen, der das vollständige Deaktivieren beschreibt.
Zusätzlichen Schutz bietet ein regelmäßiger Virenscan jedes USB-Sticks, der an einem anderen Rechner angeschlossen war. Das Deaktivieren der Autorun/AutoPlay-Funktion verhindert nur den Start des Wurms am jeweiligen Rechner, ein infizierter USB-Stick bleibt infiziert und kann beim Anschluss an andere, ungeschützte Rechner diese infizieren.

Bleibt noch ein letzter Punkt: Das Schild "Zutritt verboten" in Form der einschlägigen Schutzprogramme. Die erkennen Conficker und seine Varianten inzwischen (hoffentlich) alle, so dass ein Virenscanner mit aktuellen Daten den Wurm stoppen kann, bevor er den Rechner befällt.

Carsten Eilers