News 22.01.2009, 08:15 Uhr

Exklusiv-Interview zum Conflicker-Wurm

Der Wurm Conflicker/Downadup/Kido versetzt derzeit die IT-Welt in Angst und Schrecken. Candid Wüest, Malware-Experte bei Symantec Schweiz, erklärt im Gespräch mit Redaktor Jens Stark, was die Szene derzeit über den Wurm weiss.
Zurzeit breitet sich der Wurm Conflicker/Downadup/Kido rasant aus und gibt Virenexperten Rätsel auf. Im Interview gibt Candid Wüest, Security Response Engineer bei Symantec, Auskunft darüber, was der Wurm macht, von wem er stammen könnte und was er bezweckt.
Symantec hat neben F-Secure die Verbreitung des Wurms Conflicker/Downadup im Auge. Wie viele Systeme sind bereits weltweit befallen?
Candid Wüest: Mehr als vier Millionen. Leider ist die Zahl nicht genau zu beziffern, da es sicherlich Infektionen gibt, die mehrere IP-Adressen haben. Hierzu zählen etwa ADSL-Kunden, die sich über DHCP ins Internet begeben. Vier Millionen scheint deshalb eine konservative Schätzung zu sein.
Gibt es Zahlen für die Schweiz? Sind hiesige Rechner weniger betroffen?
Ich habe leider keine Zahlen direkt für die Schweiz. Wir wissen allerdings, dass der Wurm hauptsächlich in China und Fernost sowie in Südamerika besonders viele Systeme befallen hat.
Warum sind die Zahlen der befallenen Systeme, die F-Secure herausgibt, doppelt bis dreimal so hoch wie diejenigen von Ihnen?
Kurz gefasst verwendet F-Secure noch einen Multiplikator pro gezählte IP-Adresse, den sogenannten Infektionszähler q. Wir erachten dies als etwas zu optimistisch und verwenden eine Mischung aus IP- und Browserstring zur Identifikation einzelner Opfer. Deshalb der grosse Unterschied.
Wer steckt hinter dem Wurm? Gibt es bereits Anhaltspunkte zu den Urhebern der Wurmattacke?
Wir vermuten eine gut organisierte Gruppe, die bereits früher Adware verteilt hat und in jüngerer Zeit auch für die Verteilung von gefälschten Antivirenprogrammen verantwortlich ist.
Was bezwecken die Conflicker-Programmierer?
Das ist die grosse offene Frage. Wir vermuten, dass irgendwann ein Payload auf den Systemen installiert werden wird. Ob es sich dabei dann um einen Spam-Proxy, einen Keylogger oder um Adware handelt, kann man noch nicht sagen. Es ist aber zu vermuten, dass die Angreifer dies nicht einfach aus Spass machen, sondern einen Profit erwirtschaften wollen.
Wie breitet sich der Wurm eigentlich aus?
Der Wurm hat drei Hauptverbreitungswege: Erstens nutzt er die Windows-Schwachstelle aus, wie sie Microsoft unter MS08-067 beschrieben und gepatcht hat. Dies passiert aus dem Netzwerk ohne Benutzerinteraktion. Daneben kopiert sich der Wurm auf USB-Wechselmedien und erstellt zusätzlich eine Autostartdatei. Wenn diese USB-Sticks dann auf anderen Systemen benutzt werden, kann sich der Wurm dort auch einnisten. Drittens probiert der Wurm eine Liste von Passwörtern durch, um sich auf Netzwerkfreigaben zu kopieren. Die Liste der Passwörter ist bekannt und online einzusehen.
Was macht der Wurm genau, wenn er ein System befallen hat?
Zum einen nistet er sich als Service ein und modifiziert ein paar Netzwerkeinstellungen, damit er sich schneller verbreiten kann. Als Nächstes stoppt er die Windows-Update-Prozesse. Danach erfragt er seine externe IP und das aktuelle Datum durch externe Webseiten. Hierauf erstellt er einen lokalen Webserver und ändert die Firewall-Regeln entsprechend. Hat er sich einmal so etabliert, versucht er sich weiter zu verbreiten, und zwar so, wie ich es vorhin geschildert habe. Zudem patcht er gewisse Systemfunktionen, um sich zu verbergen und das Entfernen zu erschweren. Danach kann er gewählte Dateien nachladen und ausführen. Schliesslich blockiert er den Zugriff zu vielen Security-Seiten und Antiviren-Update-Diensten.
Basierend auf dem aktuellen Datum werden hernach Domainnamen generiert und dann abgefragt - also jeden Tag neue Domains. Dies ermöglicht dem Angreifer, eine bestimmte Domain zu registrieren und dann über diese neuen Schadcode herunterladen zu lassen. Einige der Domains, die der Wurm beispielsweise hat registrieren lassen, lauten aaidhe.net, aamkn.cn, abivbwbea.info oder aiiflkgcw.cc.
Generell wird heute davon ausgegangen, dass Hacker Malware schreiben, um ganz gezielt und unauffällig Systeme auszuspionieren. Wie erklären Sie sich vor diesem Hintergrund diese regelrechte Wurmepidemie?
Diese Epidemie ist nicht ganz unnatürlich. Ohne die Medienberichterstattung wäre die Ausbreitung wahrscheinlich schon sehr unauffällig gewesen. Das Ziel war wahrscheinlich, möglichst viele Maschinen zu kontrollieren wie in einem Bot-Netzwerk. Da aber der eigentliche Payload noch unbekannt ist, ist es natürlich auch schwer zu sagen, ob die gewählte Methode clever war oder nicht.
Warum kann sich der Wurm derart ausbreiten, obwohl Microsoft bereits im letzten Jahr einen Patch veröffentlicht hat, der die Schwachstelle, die der Wurm ausnützt, schliesst?
Es ist leider so, dass Patches nicht immer gleich sofort eingespielt werden. Dies kann verschiedene Gründe haben, bei einigen Firmen müssen die Flicken zuerst auf Kompatibilität mit anderen Tools überprüft werden. Andere Firmen haben vielleicht einfach das Patchen versäumt. Dass dies in einem solchen Ausmass geschieht, kam aber schon länger nicht mehr vor.
Ich nehme an, dass die Antivirenhersteller den Wurm jetzt eigentlich erkennen müssten? Warum breitet er sich dennoch weiter aus?
Meines Wissens erkennen nun alle gängigen Antivirenprodukte diesen Wurm. Allerdings sind nicht alle Produkte immer in der Lage, ein bereits infiziertes System auch wieder zu säubern. Dies vor allem, da der Wurm sich zum Teil auch Rootkit-Methoden bedient, um ein Entfernen schwer zu machen. Darüber hinaus ist die Frage, wieso er sich trotzdem weiter ausbreiten kann, ähnlich zu beantworten, wie die Frage, warum die Systeme nicht gepatcht sind.



Kommentare
Avatar
BlackIceDefender
22.01.2009
f-downadup.zip = F-Secure BlackLight Sensor.Spyware Das hier angegebene 'Tool' installiert sich als Service. und installiert Treiber. Der Service bleibt dann auch nach beenden des Scans aktiv. F-Secure BlackLight Sensor C:\Users\\AppData\Local\Temp\F-Secure\Anti-Virus\fsblsrv.exe wird natürlich NICHT erwähnt im Artikel. Sowas nennt sich normalerweise Spyware. Das ist nicht die Art und Weise, wie ein Removal Tool normalerweise arbeitet. Das exklusiv Interview ist erstens nicht exklusiv und zweitens aufgewärmtes vom Blog der gelben Witz [t = ch, z = s] Fabrik. Das kann man ja alles durchaus ernst nehmen, wenn man will. Es ist nicht einmal mehr lustig, sondern - siehe Entfernungstool - sogar umgekehrte Psychologie. Später wird es dann wohl einen Hype wegen dem Blacklight Sensor gegen. Das F in F-Secure steht wohl für einen Vorgang der biologischen Reproduktion. Dass der Schnösel vom Sym(ian) - an(al) - tec es nicht für nötig findet, den Grund der grossen Verbreitung trotz Patch nicht zu sagen - nähmlich eben was coceira wegen brasilianischen und chinesischen Windows Installationen sagt - ist geradezu unverantwortlich. der Conficker hat spezifischen Code, der gerade auf solche Systeme zielt. wie ich hier schon sagte: ...Das Teil ist übrigens kriminologisch neutral: Angebote gehen sowohl an LE als auch an die andere Seite.

Avatar
Gaby Salvisberg
22.01.2009
Nicht so wild, BlackIceDefender ;) Das hier angegebene 'Tool' installiert sich als Service. und installiert Treiber. Der Service bleibt dann auch nach beenden des Scans aktiv. wird natürlich NICHT erwähnt im Artikel. Das von Dir so wüst angeschossene Tool wird doch gar nicht in diesem Artikel, den du da grad kommentierst, erwähnt. Kritik zum F-Secure-Tool bitte nicht hier, wo um es um ein (übrigens echtes) Interview mit jemandem von Symantec geht, sondern in jenem Thread, wo es um das F-Secure-Tool geht. OK? Einfach wegen Topic usw. :o Gruss Gaby