Conficker-Virus verwandelt Computer in Schweizermesser des Cyberterrorismus
Für so viel Aufregung hat schon lange kein PC-Virus mehr gesorgt: Was hinter dem Conficker-Wurm steckt, was er bisher angerichtet hat und warum er nur die Spitze des Eisbergs ist.
Sie wurden gegrillt am medialen Scheiterhaufen wie einst Jeanne dArc die IT-Verantwortlichen der Kärntner Landesregierung. Dass sie sich den Conficker-Wurm eingefangen hatten, war nicht das Tragische. Blöd war, dass sie ihre Wurm-Kur vor der Öffentlichkeit nicht geheim halten konnten.
Erschütternde Laissez-faire-Politik
Es mag die Kärntner trösten, aber auch das Kriegsschiff Jeanne dArc (
im Bild
) blieb im Dock. Die französische Marine säuberte ihre ebenfalls vom Wurm befallenen Rechner und verließ sich erst mal auf die gute alte Hauspost. Thomas Mandl, Virenexperte beim TU-Spin-off Security Research, weiß, dass das nur die Spitze des Eisbergs ist. Allein in Österreich waren rund 3.000 IP-Adressen betroffen, quer durch alle Branchen. Was ihn erschüttert, ist die schier unglaubliche Laissez-faire-Politik vieler Sicherheitsverantwortlicher. Da wurden Rechner gefunden, deren Virenschutz monatelang nicht aktualisiert wurde. Irgendwie ratlos ist auch der Sicherheitssprecher von Microsoft Österreich, Gerhard Göschl. Als das Betriebssystem mit der größten Verbreitung am Markt ist Windows das beliebteste Einfallstor der Virenschreiber.
Software stößt in Windows-Lücke
Bei Microsoft hat man sich die permanenten Prügel für Sicherheitslecks zu Herzen genommen und investiert massiv in Security-Forschung. Jeder zweite Dienstag im Monat ist Patch-Tag bei Microsoft. Dann werden auf Millionen Privatrechnern weltweit automatisch die Sicherheitsprogramme aktualisiert. Bei Firmen werden diese Updates meist nicht automatisch ins System übernommen, weil vorher eventuelle Komplikationen mit der Firmensoftware abgecheckt werden. Microsoft entdeckte im Oktober 2008 eine Sicherheitslücke in Windows (genauer: im RPC Service) und entwickelte einen Patch dafür. Weil man das Schadenspotenzial als sehr groß einschätzte, wurden die Firmen außerplanmäßig von dem Update informiert. Wir haben die Großkunden sogar persönlich angerufen. Das sorgte damals auch für Unverständnis, findet Göschl diplomatische Worte für die Ignoranz etlicher Verantwortlicher. Lange hat es nicht gedauert, bis Schadsoftware genau diese Lücke ausnützte. Der Wurm wurde noch Ende 2008 gesichtet und von Microsoft Conficker getauft. Die Grippewelle begann bald nach Neujahr.
Konfusion durch Mutation
Conficker schlug eine orkanartige Schneise durch die weltweiten Netze. Allein am 5. Februar wurden 1,9 Millionen infizierte IP-Adressen gemeldet, darunter fast 3.000 in Österreich. Marcus Rapp von F-Secure hält die Schätzung von zehn Millionen infizierten Systemen für sehr konservativ. Beim Befall einer Firma wird eine IP-Adresse gezählt, wie viele Rechner davon betroffen sind, kann niemand seriös einschätzen. Otmar Lendl vom Computer Emergency Response Team (CERT.at) beschreibt die Verbreitungsarten: Eine Variante ist eine Schwachstelle im Windows-Betriebssystem, dann verbreitet er sich über Dateiablagen oder USB-Sticks und mittels erratener Passwörter in Windows-Netzen. Das Problematische ist seine Fähigkeit zur Mutation, und darin ist er besser als jede Influenza. Bei Ikarus zählte man bislang 3.000 unterschiedliche Dateien, die Conficker zuzuordnen sind. Theoretisch müssten die Virenjäger für jede Mutation ein Sicherheitspflaster entwickeln. Das Katz-und-Maus-Spiel mit den Bösen geht weiter. Die Konfusion ist auch unter den Experten groß, gesteht Mandl.
Schattenheer für finstere Dienste
Conficker hüpft derweil von Rechner zu Rechner. Der pekuniäre Schaden betrifft bis jetzt nur die Ausfallszeiten in Firmen, während die Rechner mühsamst gereinigt werden müssen. Conficker hat ein Schattenheer von Millionen PCs (sogenanntes Botnetz) aufgebaut. Derart gekaperte Rechner werden im harmloseren Fall für Spamversand, im schlimmeren Fall für den Klau von Kreditkartendaten und Passwörtern herangezogen, sagt Wieland Alge von Phion. Botnetze sind das Schweizermesser des Cyberterrorismus, erklärt Lendl. Üblicherweise werden sie in einschlägigen Foren angeboten. Die verseuchten, ferngesteuerten Rechner werden an den Meistbietenden verhökert. Dass Conficker noch nicht scharf gemacht wurde, liegt daran, dass das Ziel noch nicht erreicht oder die Angebote nicht hoch genug sind. Lendl: Es können politische oder pekuniäre Motive dahinterstecken. Zur Rettung der Welt wurde Conficker sicher nicht programmiert.
Steckbrief: Ein ähnlich perfides Virus wie der Conficker-Wurm ist seit drei Jahren nicht mehr aufgetaucht. Es gibt mittlerweile 3.000 Mutationen der einzelnen Conficker-Stämmer (Conficker.A, Conficker.B ...). Da die Virenjäger kein einheitliches System der Namensgebung pflegen, hat der Wurm unterschiedliche Bezeichnungen ein kleiner Auszug rechts. Ist der Wurm in einem System drin, versucht er schadhaften Code nachzuladen, er startet u. a. Domainabfragen.
Schnelle Verbreitung
Auf YouTube kann in einem Kurzclip beobachtet werden, wie schnell sich ein Virus verbreitet:
http://www.youtube.com/watch?v=kH8cS1AkqiI
Von Barbara Mayerl
