Was macht der RPC-Wurm am 1. April? Dieser Standpunkt Sicherheit ist mein Beitrag zum Hype um den neuen Virus, der am 1. April das Internet zerstören wird, wenn man manchen Medienberichten Glauben schenkt.

Was passiert am 1. April?

Mit Sicherheit wird es wieder den einen oder anderen Aprilscherz geben, viel interessanter ist in diesem Jahr aber die Frage "Was macht der RPC-Wurm Conficker/Downadup am 1. April?" Die endgültige Antwort auf diese Frage gibt es erst am 2. April, alles andere ist Kaffeesatzleserei. Trotzdem will ich mich mal ein bisschen daran beteiligen. Wenn manche Medien vor einem Virenausbruch und/oder dem Zusammenbruch des Internet am 1. April warnen, macht sich das unheimlich gut auf den Titelseiten, das ergibt schöne Schlagzeilen, das lockt Leser. Betrachtet man das ganze aber mal in Ruhe, stellt man fest, dass eigentlich niemand weiss, was denn nun passieren wird (die Entwickler des Wurms mal ausgenommen), und eigentlich alles dafür spricht, dass gar nichts passiert.

Auch in den Blogs der Antiviren-Hersteller gibt es nur Vermutungen, z.B. bei Symantec und F-Secure, wobei mir die FAQ von F-Secure sehr gut gefällt. Nach all dem Hype um den Termin 1. April vermute ich, das gar nichts passieren wird. Warum? Weil es nicht nötig ist. Niemand zwingt die Wurm-Entwickler, am 1. April aktiv zu werden, warum sollten sie es also tun? Schon jetzt haben sie jederzeit die Möglichkeit, dem Wurm mit neuem Schadcode zu bestücken und/oder Anweisungen zu erteilen. Wenn sie es bisher nicht gemacht haben (wenn man von der Verbreitung neuer Varianten absieht), warum sollten sie es dann gerade am 1. April tun? Weil es der beste Aprilscherz des Jahres würde? Ich vermute, die Wurm-Entwickler werden andere Interessen haben.

Warum der Hype?

Warum sollte überhaupt etwas am 1. April passieren? Ursache des ganzen Hype ist ein Körnchen Wahrheit, etwas wird tatsächlich passieren, aber das ist an sich noch nichts besonders bemerkenswertes: Die neueste Variante beginnt dann, pro Tag 50.000 Domain-Namen zu erzeugen, die für die Kommunikation mit den Wurm-Entwicklern verwendet werden können. Aus diesen 50.000 Namen werden dann zufällig 500 ausgewählt, zu denen, sofern möglich, eine Verbindung aufgebaut wird. Dabei wird jede Domain nur einmal ausprobiert. Die vorherige Version erzeugte pro Tag 250 Domain-Namen, die alle 2 Stunden komplett durchprobiert wurden. Statt 3.000 DNS-Abfragen pro Tag erzeugt die neue Variante also nur 500, und wurde einmal erfolgreich eine Verbindung aufgebaut und Schadcode nachgeladen, erfolgt der nächste Verbindungsaufbau erst nach 3 Tagen. Insgesamt verhält sich die neue Variante also sehr viel unauffälliger, an der Möglichkeit, Schadcode nachzuladen, ändert sich aber nichts.

Im März gab es einige zufällige Übereinstimmungen zwischen existierenden und tatsächlich genutzten Domains und den von Conficker/Downadup erzeugten Namen. Diesen Domains drohte an den entsprechenden Tagen, an denen der Wurm mit ihnen Kontakt aufnehmen wollte, ein unbeabsichtigter DDoS durch die Millionen von Verbindungsversuchen.

Vermutlich hat irgendwann irgendwer diese Informationen falsch kombiniert und/oder verstanden und daraus geschlossen, das ab dem 1. April sehr viel mehr Domains ins Visier des Wurm geraten: Das "Am 1. April bricht das Internet zusammen"-Gerücht machte sich auf den Weg. Und was den "neuen Virus am 1. April" betrifft: Das ist die Boulevardversion für "Ab dem 1. April versucht die neueste Conficker-Variante, Code nachzuladen".

Kaffee ist alle, lesen wir mal im Satz

Ich sehe... ich sehe... gar nichts, kein Satz drin, der Filter war dicht. Macht nichts, phantasieren kann ich auch so. Also: Was passiert? Ich hatte im Standpunkt Sicherheit von 26. Januar schon einige Vermutungen angestellt, was der Wurm wohl machen soll und wann er aktiv wird. Viel mehr Fakten sind seitdem ja nicht bekannt geworden, besonders bemerkenswert ist eigentlich nur eine: Die neueste Version, die am 1. April aktiv wird, besitzt keine Verbreitungsroutine mehr, stattdessen wird viel Wert aufs Tarnen und Täuschen gelegt: Das aufgebaute Botnet soll möglichst lange erhalten bleiben. Vielleicht lädt der Wurm ja sogar irgendwann nach dem 1. April eine noch besser auf Tarnung spezialisierte Variante nach?

Sicher wird er auch irgendwann selbst aktiv werden und z.B. zum Spam-Versand, zur Verteilung von Schadsoftware oder für DDoS-Angriffe eingesetzt, aber kaum direkt am 1. April. Das ist nur der Termin, ab dem die Entwickler ihre neueste Version mit neuem Code versorgen können, bis dahin erreichen sie nur die Vorgängervarianten. Aber auch mit denen ließen sich Angriffe starten. Wenn jemand also jederzeit losschlagen kann, warum sollte er es dann zu einem Termin tun, an dem alle Welt damit rechnet und die kleinste Auffälligkeit auf eine Verbindung mit dem RPC-Wurm untersucht werden würde?

Gibt es am Mittwoch eine auffällige Spam-Welle oder DDoS-Angriffe, wird mit Sicherheit zuerst Conficker/Downadup verdächtigt. Für eine Wurm, der unerkannt bleiben soll, etwas, was es zu vermeiden gilt, oder? Der Wurm wird aktiv und versendet Spam oder startet einen DDoS-Angriff, die IP-Adressen der eingesetzten Rechner werden protokolliert, die zuständigen Netzwerkbetreiber werden informiert und gehen gegen den Wurm vor. Meines Erachtens ist das kein Szenario, das die Wurm-Entwickler sich wünschen, denn dann hätten sie sich die Täuschungs- und Tarnungsfunktionen sparen können.

Tarnen, täuschen, nicht verschwinden

Ich vermute, der Wurm macht erst mal gar nichts. Die Entwickler werden vielleicht irgendwann eine weitere, sich noch besser vor Entdeckung schützende Version nachschieben, ansonsten aber warten, bis Gras über die ganze Sache gewachsen ist. Wenn 2, 3 Monate nichts Auffälliges mehr passiert ist und kaum noch jemand an die infizierten Rechner denkt ist der geeignete Zeitpunkt, im großen Maßstab aktiv zu werden. Und bei der beachtlichen Größe des aufgebauten Botnets besteht durchaus auch die Möglichkeit, das immer nur Teile davon zum Einsatz kommen und/oder verschiedene Angriffe gleichzeitig durchgeführt werden.

Carsten Eilers