Foto: Sophos
Forscher der Uni Bonn haben eine Möglichkeit gefunden, mit dem Conficker-Wurm infizierte PCs zu erkennen sowie saubere Systeme zu impfen. Währenddessen warnen Sicherheitsufirmen vor übertriebener Aufregung wegen des Conficker-Stichtags am 1. April.
Das Honeynet-Projekt hat eine neue Analyse aus seiner Reihe "KYE - Know Your Enemy" (kenne deinen Feind) veröffentlicht, die sich mit dem Conficker-Wurm (Alias: Downadup, Kido) beschäftigt. Felix Leder und Tillmann Werner von der Uni Bonn stellen darin neue Erkenntnisse über Conficker vor, die zum Aufspüren des Schädlings und zu einer Art Schutzimpfung genutzt werden können. Unterdessen raten Sicherheitsunternehmen zu Besonnenheit - die Aufregung wegen des Conficker-Stichtags am 1. April sei übertrieben.
Felix Leder und Tillmann Werner stellen in ihrer Analyse "Know Your Enemy: Containing Conficker", die als PDF-Datei herunter geladen werden kann, Methoden vor, wie Conficker sowohl lokal als auch im Netzwerk entdeckt und beseitigt werden kann. Sie nutzen dabei zum Beispiel Unterschiede zwischen der Art und Weise, wie Conficker die Sicherheitslücke MS08-067 nach einer Infektion stopft und der Vorgehenseise des Sicherheits-Updates von Microsoft.
Die Forscher haben eine Reihe von Programmen geschrieben, die Conficker im Arbeitsspeicher eliminieren, seine Dateien und Registry-Einträge erkennen, infizierte PCs im Netzwerk aufspüren und die Ausbreitung des Wurms im Datenverkehr entdecken. Außerdem haben sie eine Art Schutzimpfung gegen Conficker entwickelt. Diese nutzt den Umstand, dass Conficker-Prozesse im Speicher verschiedene Mutexe verwenden. Damit wollen die Malware-Programmierer sicher stellen, dass die nur jeweils neueste Version des Schädlings aktiv ist.
Leder und Werner stellen eine Systembibliothek (DLL) nebst Installationsprogramm bereit, die als Systemdienst läuft und vorgibt ein aktiver Conficker-Wurm zu sein. Diese "Nonficker Vaxination" genannte Schutzimpfung soll das Einnisten des echten Schädlings mit einem Mutex-Verfahren verhindern.