Von Judith: Der Conficker-Wurm – Warum Sicherheitsupdates nicht optional sein sollten

Wenn ein Microsoft-Mitarbeiter in seinem Blog über die Unverantwortlichkeit der Windows-Anwender schimpft und den Kunden seines Unternehmen vorwirft, „Russisches Roulette“ mit ihrem Netzwerk zu spielen, drängt sich einem die Frage geradezu auf: Halten manche Nutzer Sicherheitsupdates trotz der in den Medien inzwischen stark präsenten Warnungen vor Würmern und Viren aller Art nach wie vor für einen lustigen, aber nicht weiter ernstzunehmenden Jux des Betriebssystem-Herstellers? Alles begann mit einer schwerwiegenden Sicherheitslücke in einem Windows-Dienst, für die am 23. Oktober 2008 auch ordnungsgemäß ein Patch erschien. Verantwortungsvolle Privatanwender und Administratoren von Unternehmensnetzwerken hatten also lange genug die Möglichkeit, dieses Loch zu stopfen, um Schäden an ihren Systemen zu vermeiden. Leider kam längst nicht jeder Anwender auf die Idee, den Patch tatsächlich zu installieren.

Ungefähr zwei Monate nach dem Schließen der Lücke durch Microsoft war es dann soweit: Ein Wurm mit dem wohlklingenden Namen „Conficker“ (von manchen Antivirenherstellern auch „Downadup“ oder „Kido“ getauft) tauchte gegen Ende 2008 zum ersten Mal auf und bescherte dem Kundensupport von Microsoft unfreiwillige Arbeitszeit am 31. Dezember und 1. Januar, weil die Telefone heiß liefen. Der Schädling fand offenbar genug ungepatchte Windows-Systeme vor, um durch die Sicherheitslücke Systeme ohne Zutun des Nutzers über das Internet infizieren zu können.

Nach und nach nahm die Ausbreitung des Wurms immer stärker zu. In Kärnten beispielsweise fiel das Netzwerk der Landesregierung (3000 ungepatchte Windows-PCs) dem Wurm zu Opfer – alle Rechner mussten offline genommen werden, bis der Schädling beseitigt werden konnte. Ähnliches Unbill ereilte wenig später auch mehrere Spitäler in der Region.

Auswertungen des Antivirenherstellers F-Secure zufolge sollen weltweit mittlerweile 9 Millionen Rechner mit „Conficker“ infiziert sein. Allerdings sind diese Zahlen mit Vorsicht zu genießen, da die Infektionen anhand von IPs gezählt wurden. Hinter einer IP könnte sich aber durchaus ein größeres Netzwerk mit mehreren PCs verbergen. Andererseits verfügen die meisten Privatrechner nicht über eine feste IP und tauchen daher in der Statistik mehrfach unter verschiedenen IPs auf, wodurch die Zählung drastisch verfälscht werden kann.

In jedem Fall kann man aber getrost davon ausgehen, dass die Anzahl der infizierten Rechner in die Millionen geht.

Wenn der Wurm an der Hintertür klopft

„Conficker“ verbreitet sich primär über das Internet, indem er versucht, Kontakt zu anderen Rechnern herzustellen und die oben erwähnte Sicherheitslücke auszunutzen. Man kann sich das so vorstellen: Der Wurm schlendert durch die Nachbarschaft, pirscht um jedes Haus herum und sucht nach einer unverschlossenen Hintertür. Findet er eine, spaziert er ins Innere und richtet sich auf unbestimmte Zeit häuslich ein. Ist ein infizierter Rechner an ein Netzwerk angeschlossen, kann der Wurm sich über Netzwerkfreigaben weiter ausbreiten. Um Netzwerkfreigaben einrichten zu können, benötigt er Administratorrechte, die in Firmennetzwerken normalen Anwendern gewöhnlich nicht zur Verfügung stehen – deshalb versucht der Wurm, Zugriff auf einen Administrator-Account zu erlangen, indem er schlicht per „Brute Force“ eine Reihe von unsicheren Passwörtern ausprobiert.

In vielen Fällen wurden durch diese Vorgehensweise ganze Firmennetze lahmgelegt, sofern die Rechner so konfiguriert waren, dass die Benutzeraccounts nach einer bestimmten Anzahl von Passwort-Fehleingaben vom System gesperrt wurden. Gelingt der Zugriff aufs Netzwerk, kann sich der Wurm rasant ausbreiten.

Vorsicht vor USB-Geräten:

Zusätzlich zu seinen anderen Verbreitungswegen befällt und präpariert der Wurm an einen infizierten Rechner angeschlossene USB-Sticks, USB-Festplatten etc.. Wird das derart infizierte Gerät per USB an einen anderen PC angeschlossen, auf dem das sogenannte „AutoPlay“ aktiviert ist (standardmäßig bei jeder Windows-Installation der Fall), ploppt ein Dialog mit verschiedenen Optionen auf, über die der Anwender beispielsweise die Inhalte des Gerätes im Windows-Explorer anzeigen lassen kann. Durch eine Manipulation an der Datei autorun.inf auf dem infizierten USB-Gerät erscheint in diesem Dialog eine harmlos anmutende Option für die Anzeige der Dateien im Explorer. Wählt der Anwender diese an, wird jedoch zusätzlich der Wurm ausgeführt und kann den Rechner direkt befallen.

Infizierte PCs versuchen nicht nur, den Wurm weiter zu verbreiten – sie laden auch von verschiedenen präparierten Webservern zusätzliche Dateien herunter, mit denen der Wurm-Autor im Prinzip beliebige Funktionalität zu seiner „Schöpfung“ hinzufügen könnte… quasi in Form von Upgrades. Und selbst, falls diese Webserver in der Zukunft lahmgelegt werden sollten, lassen sich Kopien des Wurms auf infizierten Rechnern durch eine Struktur, die typischen Peer-to-Peer-Netzen gleicht, weiterhin mit Upgrades versorgen, indem sie sich gegenseitig aktualisieren, falls sie auf der Suche nach verwundbaren Rechnern aufeinander stoßen. Da liegt der Gedanke natürlich nahe, dass hier ein neues Botnetz aufgebaut werden soll.

Also: Besser gar nicht erst infiziert werden.

Die beste Möglichkeit, sich vor einer Infektion zu schützen, ist natürlich die Installation des Patches für die zugrundeliegende Sicherheitslücke. Auf einigen Windows-Systemen, für die der Support bereits ausgelaufen ist (z. B. Windows NT), fällt diese Option jedoch flach. Eine entsprechend konfigurierte Firewall schützt potentiell verwundbare PCs zwar vor Infektionsversuchen über das Internet, jedoch nicht vor der Infektionsmethode per Netzwerkfreigabe oder vor infizierten USB-Sticks. Insbesondere Firmennetzwerke sind also durch das Vorhandensein einer Firewall allein nicht gegen den Wurm gefeit, sofern vorhandene USB-Schnittstellen nicht komplett deaktiviert wurden. Ein einziger unvorsichtiger Anwender kann den Schädling in Umlauf bringen.

Unerwünschte Gäste kann man wieder loswerden.

Hat man sich „Conficker“ doch eingefangen, kann man dem Wurm mit Hilfe der aktuellen Virenscanner zuleibe rücken. Die meisten Hersteller bieten auch speziell auf diesen Wurm zugeschnittene „Removal Tools“ an. Das Microsoft-eigene „Malicious Software Removal Tool“ ist in der aktuellen Version ebenfalls in der Lage, den Schädling zu entfernen und steht jedem Windows-PC über das Microsoft Update zur Verfügung. Im Zeitalter von Botnetzen liegt es in der Verantwortung jedes einzelnen Anwenders und jedes Systemadministrators, die Infektion von Systemen durch und die weitere Ausbreitung von schädlicher Software zu unterbinden. Vergessen Sie also nicht, Ihre Rechner zu schützen – selbst, falls Sie der Ansicht sein sollten, dass eine Wurminfektion bei Ihnen „nicht so schlimm“ wäre. Das böse Erwachen kommt dann unter Umständen, wenn Ihr PC als „Zombie“ in einem Botnetz ferngesteuert wird und zum Versenden von Spam oder anderer Malware dient.

In diesem Sinne: Bleiben Sie sauber.