Channel Security

Die bis dahin aktuelle Variante des RPC-Wurms Conficker/Downadup hat am 7. April begonnen, Code nachzuladen. Laut einem Bericht von Trend Micro wird die Peer-to-Peer-Funktion genutzt, um eine neue Variante des Wurms nachzuladen, der von Trend Micro als WORM_DOWNAD.E bezeichnet wird.

Die neue Variante

Laut Trend Micro und F-Secure wird sich die neue Variante am 3. Mai selbst deaktivieren. Bis dahin versucht sie, sich zu verbreiten und wahrscheinlich weiteren Schadcode nachzuladen. Die bisher aktuelle Variante lädt außer der neuen Wurmvariante weiteren Schadcode nach. Dabei handelt es sich bisher zum einen um einen für den Versand von Spam und das Sammeln vertraulicher Daten verwendeten Schädling namens Waledac, zum anderen um Fake-Antivirensoftware. Laut einem Bericht der McAfee Avert Labs kommt die neue Variante in Form einer exe-Datei daher.

Einem Eintrag im Threat Research & Response Blog von Microsofts Malware Protection Center zu Folge handelt es sich sogar um zwei neue Varianten, dort Worm:Win32/Conficker.D und Worm:Win32/Conficker.E genannt. Während die erste Variante nur minimale Änderungen zum Vorgänger enthielt, wie z.B. weitere Programme, deren Start verhindert wird, und weitere Domains, auf die der Zugriff blockiert wird, handelt es sich bei der zweiten Variante um die auch von Trend Micro und Sophos gemeldete Version.

Laut F-Secure wird sich zwar die neue Variante am 3. Mai selbst löschen, die Vorgängerversion bleibt jedoch zurück und aktiv. Laut Symantec besteht eine der Aufgaben der neuen Variante darin, ihren Vorgänger zu installieren. Auch wenn das auf den ersten Blick widersprüchlich ist ("Variante E installiert Variante C, von der er nachgeladen wurde") ist es zweckmäßig, da die Variante E sich selbst verbreitet und damit auch auf Rechner gelangt, auf denen Variante C nicht installiert ist. Und die enthält keine Verbreitungsfunktionen, sondern ist auf Tarnung optimiert. Im Prinzip wurden also Verbreitungs- und Schadfunktion getrennt: Variante E sorgt für die auffällige Verbreitung, während Variante C gut getarnt darauf wartet, aktiviert zu werden und Schadcode nachzuladen und auszuführen.

Im Blog von Sophos wurde eine Liste der von der neuen Variante blockierten Domains und Prozesse veröffentlicht. Im wesentlichen handelt es sich dabei um die seit der Verbreitung des Vorgängers neu hinzu gekommenen Scan-Tools und damit verbundene Domains. Der Online-Test des Honeynet Projects ist daraufhin umgezogen und weiterhin auch von infizierten Rechnern erreichbar.

Trittbrettfahrer?

Sowohl Sophos als auch Microsoft berichten über Spam-Mails, die angeblich von Microsoft stammen und laut denen 'your Internet company' Microsoft darüber informiert hat, das der Rechner des Spam-Empfängers wahrscheinlich mit dem RPC-Wurm infiziert ist. Als Gegenmaßnahme soll ein Scan des Computers durchgeführt werden, während dem dem Benutzer dann Fake-Antivirensoftware untergeschoben werden soll.

Ein Grund zur Panik?

Es besteht im Grund überhaupt kein Grund zur Panik, auch wenn das manche Medien meinen. Hier gibt es dazu die Fakten, einen Kommentar gibt es im aktuellen Standpunkt Sicherheit. Die Fakten:

• Der RPC-Wurm lädt eine neue Variante von sich selbst herunter, die sich selbst verbreiten kann - das hatten wir schon.
• Der RPC-Wurm lädt den Schädling Waledac nach, der sich sonst über E-Mail verbreitet - im Grunde ist auch das keine neue Bedrohung
• Der RPC-Wurm lädt Fake-Antivirensoftware nach - auch das ist nichts neues
• Der RPC-Wurm entfernt sich am 3. Mai selbst, die vorherige Version bleibt zurück

Ist das ein Grund zu Panik? Nein! Das sind altbekannte Bedrohungen, vor denen aktuelle Schutzprodukte schützen. Wer einen infizierten Rechner hat, hat in der Tat ein Problem, aber das hatte er schon von Anfang an und nicht erst seit dem Auftauchen der neuen Version.

Für die RPC-Schwachstelle gibt es einen Patch von Microsoft, wer schwache Passwörter nutzt ist selbst schuld, und die AutoRun-Funktion für USB-Sticks und andere mobile Massenspeicher gehört ausgeschaltet. Aktuelle Virendefinitionen schützen vor den bekannten Schädlingen, und auch die neuen Wurmvarianten wurden von den meisten Herstellern mit vorhandenen generischen Signaturen erkannt. Wer regelmäßig alle Patches installiert, sein System sicher konfiguriert und seinen Virenschutz auf einem aktuellen Stand hält, hat also nichts zu befürchten. Wessen System infiziert ist, der hat in der Tat das Problem, das der Wurm den Zugriff auf Websites mit zuverlässigen Antivirenprogrammen und allgemein Informationen über den Wurm verhindert und sich die Programme zur Bereinigung des Systems nicht ohne weiteres starten lassen. Er kann aber auf einem anderen Rechner auf die entsprechenden Seiten, z.B. auch der Conficker Working Group, zugreifen und dort erfahren, wie er den Wurm los wird.

Carsten Eilers