Die für 1. April befürchteten Angriffe blieben aus - hat Conficker versagt, warten die Virenautoren noch ab oder war alles nur ein böser Aprilscherz?
Seit Herbst 2008 treibt Wurm Conficker (alias Downadup alias Kido) im Web sein Unwesen. Experten hatten Hinweise im Code des Schädlings gefunden, wonach er am 1. April eine neue Kommunikationsroutine aktiviert und die weltweit geschätzten 15 Millionen infizierten Windows-Rechner neue Instruktionen von den Viren-Schreibern erhalten sollen. Vor einer massiven Spam-Welle oder Angriffen auf Unternehmen war gewarnt worden. Das unheilvolle Datum ist gekommen und Conficker blieb still. Im Gespräch mit der derStandard.at erklärte Martin Penzes, technischer Direktor von Sicontact, was passiert ist.
Globales Botnet
Dass am 1. April das Chaos über das Web hereinbricht, wie viele Medien berichtet hatten, davon seien die Viren-Experten ohnehin nie ausgegangen, so Penzes. Was sich an dem Datum tatsächlich geändert hat ist das Kommunikationsverhalten des Schädlings. Conficker kann nun von 50.000 Domains neue Instruktionen, Updates oder weitere Schadsoftware nachladen. "Es ist möglich, dass ab heute größere Angriffe passieren", so Penzes. Denn mit mehreren Millionen infizierten PCs weltweit konnte Conficker ein globales Botnet aufbauen, das ferngesteuert für Datenklau oder Spamwellen ausgenutzt werden kann.
Mächtiger Schädling
Conficker gehört dabei zu den heimtückischsten Schädlingen überhaupt. Der Virus modifiziert das DNS, ändert die Einstellungen der Windows Firewall, verhindert Updates der installieren Antiviren-Software und kann über einen Auto-Update-Mechanismus mit Verschlüsselungstechnik auf Aktualisierungen warten. Mit diesen Tricks konnte sich der Wurm immerhin unter anderem im britischen Parlament und auf Rechnern der französischen Luftwaffe einnisten.
Kein Überraschungseffekt mehr
Dass am 1. April noch keine Angriffswelle beobachtet wurde, liege unter anderem am medialen Hype. "Virenautoren nutzen auch den Überraschungseffekt", meint der Sicherheitsexperte. Aufgrund der intensiven Berichterstattung der vergangenen Wochen und Monate konnten sich die Nutzer jedoch vorbereiten, was einen Überraschungsangriff zumindest für den 1. April verhindern konnte.
Keine Panik, aber Vorsicht
Die Annahme, dass die Gefahr nun vorbei ist, sei jedoch falsch. "Niemand kann sagen, was passieren wird. Die Hacker suchen sich vermutlich einen unerwarteten Zeitpunkt aus", meint Penzes. Grund zur Panik bestehe trotzdem nicht, denn mit regelmäßigen Updates von Betriebssystem und Antiviren-Software könne man sich relativ gut schützen. Wichtig sei auch ein Virenscanner mit heuristischem Verfahren, bei dem das Verhalten eines Programms analysiert und nicht nur auf die Signaturen vertraut wird.
Conficker erkennen und entfernen
Ob der eigene PC bereits mit Conficker infiziert ist, können Nutzer mit diversen Online-Scannern herausfinden. So bieten unter anderem Microsoft, Sicontact (ESET), Symantec, BitDefender, McAfee und Sophos Tools zum Erkennen und Entfernen von Conficker an. (Birgit Riegler/ derStandard.at, 1. April 2009)
