Obwohl Conficker weiterhin sehr interessante Aktivitäten tätigt ist er aus der Mainstream Presse größtenteils verschwunden. Hier ein kleiner Überblick:
- 11% der Internetbenutzer sind immernoch über die bekannten Sicherheitslücken angreifbar. Trotz des großen Medienrummels um diesen Wurm und all der Analysen und Hilfestellungen gibt es immernoch 1 PC Nutzer unter 10, der von dem Wurm infiziert werden könnte.
Dieses Bild verdeutlicht, wie sehr sich Conficker allein in Nordamerika ausbreiten konnte. Dabei nimmt Nordamerika mit nur 6% aller Confickerinfizierungen einen nicht sehr starken Prozentsatz ein.
Um das zu verhindern sollten die automatischen Updates, die Firewall und ein Antivirenprogramm aktiv sein.
Im Detail geht es um den Microsoft Patch, der im MS08-067 vorgestellt wird. Weitere Microsoft Hilfen im MS Malware Protection Center und KB962007. - Conficker.e läd Waledac, einen Spambot, auf den infizierten PC. In seiner neuesten Version, Conficker.e, läd Conficker Waledac auf den infizierten PC herunter. Dieser Trojaner ähnelt dem Storm Wurm, der bereits viel Ärger bereitet hat. Beide sind vom selben Autor geschrieben. Das aufgebaute Botnetz dient u.A. dem Versand von Spamnachrichten. Aber auch Passwörter sollen ausspioniert und versendet werden.
- Conficker.e installiert die Scareware SpyProtect2009. Scareware sind Programme, die versuchen ein Produkt zu verkaufen, oft schädliche oder teure Software. Die neue Conficker-Version veranlasst, dass nervend oft Hinweise erscheinen, der Computer sei infiziert. Dabei wird das Produkt SpyProtect2009 angeboten. Der PC Benutzer wird um 50$ erleichtert, wenn er das Angebot annimmt und das Programm soll so gut wie nutzlos sein.
- Conficker von Anfang an nur des Geldes wegen? Von einigen Experten wird behauptet, dass Conficker von Beginn an darauf aus war, auf längere Zeit Geld zu ‚ergaunern‘. Zuerst Stand die Verbreitung und Absicherung im Vordergrund aber die Infizierung mit der Scareware war bereits klar. Es wird auch diskutiert, ob das Botnetz nicht schon längst verkauft wurde oder es vielleicht noch ansteht.
- Deaktiviert sich Conficker am 3. Mai von selbst? Laut berichten soll die neueste Variante des Wurms darauf programmiert sein, am 03.05. deaktiviert zu werden, wenn sich bis dahin durch weitere Updates nichts ändert. Genaueres wird bis zu diesem Datum sicher noch berichtet.
- Account lockout policies being reset automatically.
- Certain Microsoft Windows services such as Automatic Updates, BITS, Windows Defender, and Error Reporting Services are automatically disabled.
- Domain controllers respond slowly to client requests.
- System network gets unusually congested. This can be checked with network traffic chart on Windows Task Manager.
- On websites related to antivirus software, Windows system updates cannot be accessed.
- Launches a brute force attack against administrator passwords to help it spread through ADMIN$ shares, making choice of sensible passwords advisable.
- Port 445/TCP scanning (A/B)
- Multicast UPnP requests
- High-port TCP and UDP P2P Activity
- Abnormal DNS lookup activty
- Quellen: pcworld.com, wikipedia, CWG, zdnet.net, cnet.com
Noch ein paar Details zu den Wurmeigenschaften:
Schnelle Online-Tests, ob sie mit Conficker infiziert sind: F-Secure Eye Chart und Uni Bonn Infection Indicator.
Wenn ihr nicht infiziert seid, solltet ihr diese 2 Ergebnisse sehen: