Conficker-Countdown Alles nur ein Aprilscherz?

Der Conficker-Wurm hat die IT-Szene in Aufruhr versetzt und neue Branchen-Allianzen initiiert. Auf seine Schöpfer sind Kopfgelder ausgesetzt, denn der Computer-Schädling gilt als potentiell enorm gefährlich. Am 1. April könnte er aktiv werden. Oder sollte das nur ein Scherz sein?

Hamburg - Drei Generationen in sechs Monaten, in der Welt der PC-Würmer und Viren ist das nicht viel. Seit seinem ersten Auftreten im Oktober 2008 haben die unbekannten Programmierer des Conficker- oder auch Downadup-Wurms diesen nur zweimal grundlegend überarbeitet. Zu viel mehr hatten sie kaum einen Grund: Der Schädling verbreitet sich weiterhin ungewöhnlich erfolgreich.

Das IT-Security-Unternehmen Bitdefender sah ihn - alle seine Varianten zusammengenommen - im März an Platz 3 der erfolgreichsten Viren und Würmer. Über vier Prozent aller gefundenen Schadprogramm-Infektionen gehen angeblich auf Conficker zurück. Das ist eine Menge.

Auf der anderen Seite scheint Conficker bisher wenig Erfolg gehabt zu haben: Zwar vermehrt und verbreitet er sich mit kaninchenhafter Geschwindigkeit, ansonsten ist er aber ein ganz kuscheliger Wurm. So richtig Beißen scheint er bisher nicht zu können, was all das mediale "Warnung!"-Geschrei ad absurdum zu führen scheint. Seit Jahresbeginn verbreiten wir Medien mit jeder neuen, kraftvollen Variante die Warnung der Sicherheitsfirmen vor der potentiell heftigsten Schadprogramm-Attacke aller Zeiten. Wenn das so weitergeht, hört bald niemand mehr hin.

Selbst die Security-Firmen trauen sich nicht mehr so richtig. Sie sind sich einig, dass Conficker C, die neueste Generation des Wurms, erheblich mehr Schadpotential hat als seine Vorgänger. Die vergangenen Updates zielten unter anderem darauf ab, das Netzwerk aus gekaperten Rechnern zu stabilisieren.

Die Experten wissen auch, dass Conficker C darauf programmiert ist, am 1. April 2009 aktiv zu werden. Seine Programmierung sieht vor, dass er dann wieder einmal seine Fühler ins Netz ausstreckt und neue Befehle erhält, neue Schadprogramme nachlädt. Das, sagt Graham Cluley, Sprecher der IT-Sicherheitsfirma Sophos und inzwischen auffällig zurückhaltend, könne bedeuten, dass etwas passiert. Vielleicht aber auch nicht.

Denn ob und was der Wurm unternimmt, wird man erst wissen, wenn er versucht, mit dem Download seiner neuen Befehle und Funktionen zu beginnen. Das Ganze ist ein Katz-und-Maus-Spiel. Wir PC-Nutzer werden Zeuge einer Pokerpartie von Virenschreibern und Virenbekämpfern, mit allem, was dazu gehört - Bluffs inklusive. Noch immer ist noch nicht einmal klar, was die Virenautoren überhaupt wollen.

Virtueller Angriff auf die Bundeswehr

Abgesehen davon, dass sich ihr Wurm massenhaft verbreiten soll, und das vorzugsweise innerhalb von Netzwerken. Das ist der Grund, warum es Anfang des Jahres so spektakulär Regierungsbehörden erwischte, dazu ausgerechnet das Militär: Bundeswehr, französische und britische Streitkräfte brauchten teils Wochen, Conficker wieder loszuwerden. Das klingt unheilschwangerer, als es ist: Es ist unwahrscheinlich, dass dies gezielte Attacken waren.

"Betroffen von dem Wurm sind viele", meint dazu Dirk Kollberg von der IT-Sicherheitsfirma McAfee. "Behörden ebenso wie Unternehmen oder Privatleute. Generell denke ich, dass es keinen guten Eindruck macht, wenn eine Firma ein internes Sicherheitsproblem bekannt macht. Behörden unterliegen vielleicht nicht diesem Druck und können so offener darüber sprechen."

So zählt auch Kollbergs Kollege Christoph Hardy von der britischen Firma Sophos die "Verluste durch Imageschäden" mit in die bisherige Schadensbilanz von Conficker. Hardy: "Conficker zerstört keine Hardware. Er ist eine Malware der neuen Generation, die es ermöglicht, infizierte PC zu übernehmen und diese zum Beispiel zu Botnetz-Zwecken fernzusteuern. Daher sind finanzielle Schäden schwer zu beziffern."

Ein Pokerspiel, bei dem der Nutzer als Verlierer feststeht

Die, sagt Hardy, entstünden zurzeit vor allem dadurch, dass der Wurm in befallenen Netzwerken Mail-Gateways belaste, freigegebene Ordner auf Computern infiziere und herkömmliche Virenscanner umgehe, die auf einen reinen Update-Mechanismus zur Aktualisierung setzten. "Die größten Schäden" sekundiert Kollberg, "dürfte der Wurm bei der Bereinigung verursachen."

Bis jetzt. Denn dass Conficker geeignet und wohl auch dafür gedacht ist, ein Botnet aufzubauen, gilt als ausgemachte Sache. Eric Chien von der IT-Sicherheitsfirma Symantec glaubt, dass man aus einer der bisherigen Adressen, über die Conficker versucht hat, Schad-Code nachzuladen, Rückschlüsse über die Absichten der Virenprogrammierer ziehen könnte: Die Betreiber der betreffenden Seite seien "schwer involviert gewesen" in den Vertrieb von Adware und Fake-Virenschutzprogrammen, auch als Fakeware oder Erpressungs-Software bekannt.

Solche Programme täuschen einen Virenbefall vor, blockieren oder behindern Funktionen des Rechners und verlangen die Überweisung eines Preises für ein Reinigungsprogramm, um den Rechner wieder frei zu bekommen. Das ist nichts anderes als Schutzgelderpressung in bester Mafia-Tradition und inzwischen Alltag im Netz.

Countdown ins Ungewisse

Vielleicht ist das so, vielleicht aber auch noch viel primitiver: "Unserer Meinung nach", sagt Kollberg von McAfee, "wird derzeit primär versucht, möglichst viele Rechner unter Kontrolle zu bekommen. Durch die Installation von Adware über das Conficker-Netzwerk wäre es möglich, Geld über ein Affiliate-Programm zu generieren."

Zu deutsch: Der Wurm ließe sich schon zu Geld machen, indem man die Masse der befallenen Rechner schlicht auf dem Adware-Markt anböte - der schmierigsten Variante des Werbemarktes. Manche dieser Adware-Programme spionieren PC-Nutzer aus, bombardieren sie mit Trash-Werbung von Viagra-Kopien über Produktplagiate bis zu Pornonetzwerken oder "kidnappen" die Browser der PC-Nutzer, indem sie sie ab und zu, aber immer wieder auf Websites landen lassen, die sie gar nicht besuchen wollten.

Wie gesagt: Vieles ist möglich. Was ab dem 1. April geschehen wird, wird man erst wissen, wenn Conficker wirklich ein Selbst-Update gelingt.

Auch das hat er bereits zweimal versucht, was allerdings durch die Bemühungen der wohl breitesten Firmenallianz, die je gegen ein Virus angetreten ist, verhindert wurde. Die "Conficker Cabal" ist ein informelles Bündnis, das Firmen und Organisationen von Microsoft über IT-Sicherheitsfirmen bis hin zur Icann umfasst. Anfang Februar setzte Microsoft ein Kopfgeld von 250.000 Dollar auf die Virenautoren aus, bisher vergeblich: Die programmieren fleißig weiter. Immerhin verhinderte die Cabal-Gruppe bisher erfolgreich, dass der Wurm über das Netz "nachladen" konnte. Diesmal aber wird das schwerer.

Denn bisher mussten die Daten- und Netzwerkschützer nur rund 250 Internet-Adressen okkupieren oder sperren, um das Nachladen zu verhindern. Diesmal aber, sagt Dirk Kollberg von der IT-Sicherheitsfirma McAfee, geht es um 50.000 mögliche Nachlade-Adressen. Die Sicherheitsexperten finden das bedrohlich.

Warum kann sich Conficker überhaupt noch verbreiten?

Dass der Wurm sich überhaupt noch verbreitet, verstehen viele Nutzer nicht. Denn Conficker nutzt ja eine Sicherheitslücke in Windows-Systemen aus, die auch schon im Oktober 2008 längst bekannt und geflickt war. Alle IT-Sicherheitsfirmen bieten mit ihren Produkten Schutz gegen den Wurm. Doch so einfach ist die IT-Welt nicht, gerade wenn es um große Netzwerke wie die von Firmen und Behörden geht.

Denn auch die Sicherheits-Patches für ein Programm können Probleme verursachen. Deshalb testen die IT-Abteilungen solche Flicken gern erst selbst, bevor sie sie in ihren Netzwerken installieren: Ein Administrator, sagt Hardy, spiele so einen Patch nicht einfach "in ein Live-System ein". Auch Kollberg hat dafür Verständnis: "Sollte das Update einen produktionsrelevanten Prozess stören, könnte hierdurch ein großer Schaden entstehen."

Wenn sich dann ein Schädling verbreitet, bevor die Installation erfolgt ist, ist die Sache gelaufen. Denn wie viele andere Viren und Würmer auch setzt Conficker als erstes Virenschutz-Software außer Gefecht, verhindert die Updates der Sicherheits-Software. Aus befallenen Systemen heraus verbreitet sich Conficker dann auf jedem denkbaren Weg - bis zur Huckepack-Verbreitung über befallene USB-Sticks.

Wie viele Rechner dort draußen nun befallen sind, wie viele Netzwerke am 1. April das große Selbst-Update versuchen werden, darüber wagen auch die IT-Sicherheitsfirmen keine Schätzungen mehr. Im ersten Conficker-Schock hatten sich einige mit Zahlen bis zu 50 Millionen vorgewagt, inzwischen rechnet man eher mit einer hoch sechsstelligen oder klein einstelligen Millionenzahl - ohne damit zitiert werden zu wollen. Keine Frage, damit ließe sich eine Menge Schaden anrichten. Am 1. April?

Möglich, aber vielleicht ist auch das wieder ein Bluff, ein Scherz, ein Teil des Katz-und-Maus-Spiels. Sicher ist, dass Conficker das Selbst-Update versuchen wird, der Rest ist Spökenkickerei. Noch einmal Dirk Kollberg: "Welche Schäden in Zukunft, zum Beispiel durch das Herunterladen von weitere Dateien, entstehen werden, kann man nicht vorhersagen."

Nur, dass der Countdown läuft. Zu was auch immer.