Conficker: Der cleverste Wurm hat Schwächen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


08.04.2009 Edmund E. Lindau

Conficker: Der cleverste Wurm hat Schwächen

Der oder die Entwickler hinter Conficker planen Größeres.

Angekündigte Katastrophen finden in der Regel nicht statt. Der Conficker-Wurm hat, so wie Experten es erwartet haben, am 1. April damit begonnen, neuen Code nachzuladen. Dass es dabei zu keinen auffälligen Störungen im Internet kam, lag primär daran, dass nur die Variante Conficker-C diese Routine ausführte. Mit dem Ziel, die Zahl seiner bisher 250 täglichen Nachlade-Domains auf 50.000 Domains pro Tag zu erhöhen. Dies ist auch einer der größten Faktoren seines Erfolgs, sich eigenständig zu aktualisieren und zu verbreiten. Zudem ist der Programm-Code durch aufwendige Verschlüsselungs-Algorithmen geschützt, so dass er von niemandem außer den Programmierern selbst gesteuert werden kann.

Außergewöhnlich ist aber auch, dass dabei immer die neueste Technik verwendet wird. So nutzte die erste Variante der gefährlichen Schadsoftware bereits ein sehr komplexes Verschlüsselung-Verfahren, das aber im Januar am Massachusetts Institute of Technology noch einmal weiterentwickelt wurde. Conficker.C enthielt dieses Update bereits.

Felix Leder und Tillmann Werner, zwei Informatiker der Universität Bonn, haben den Conficker-Wurm eingehend untersucht und sind dabei unter anderem zu dem Schluss gekommen, dass der Trojaner eindeutig von Profis stammt. Neben weiteren Details fanden sie aber auch eine Lücke, über die man Conficker selbst angreifen könnte und stellen Tools zu seiner Beseitigung bereit.

Technische Details, wie die integrierte Versionskontrolle samt intelligentem Update-Verfahren, weisen auf echte Profis hin. Über einen intelligenten Mechanismus schafft es der Trojaner, sich selbst stets unauffällig auf dem neuesten Stand zu halten. Die Forscher vermuten, dass dazu eine digitale Signatur eingesetzt wird, die auf einem geheimen RSA-Schlüssel des Autors/der Autoren basiert. Somit ist es von dieser Seite nicht möglich, den Wurm zu stoppen oder gar zu vernichten.

Doch so gut er auch programmiert ist, hat auch Conficker seine Schwächen, wie die beiden Informatiker herausgefunden haben. So konnten sie etwa die Algorithmen für die Pseudozufallszahlen finden und auch reproduzieren. Auch der gefundene RSA-Schlüssel kann dazu eingesetzt werden, im Speicher nach den Threads der entsprechenden Signaturen zu suchen und sie gezielt zu killen. Die Informatiker haben auch einige Tools entwickelt, mit denen sich etwa die vom Wurm verwendeten Domänen-Dateinamen und Registryeinträge nachbilden lassen. Eines der Werkzeuge ermöglicht es außerdem, dem System eine Infizierung vorzugaukeln und somit zu verhindern, dass Conficker sich in einem System einnistet und verbreitet. Zu guter Letzt haben Leder und Werner auch in Conficker selbst eine Schwachstelle entdeckt, die sich gegen den Wurm einsetzen lässt. Gleichzeitig haben die beiden bei ihrer detaillierten Untersuchung des Wurms auch eine Reihe von Bekämpfungsmöglichkeiten des Conficker-Wurms gefunden.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr

Hosted by:    Security Monitoring by: