Der Computerwurm Conficker kommt in mehreren Versionen vor. Eine der gefährlichsten ist die Variante A. Die Bonner Informatiker Felix Leder und Tillmann Werner hatten bereits zu Beginn des Jahres alle Formen des Wurms im Detail seziert und analysiert. Mit der von ihnen nun entwickelten Strategie lässt sich zumindest die Ausbreitung der A-Variante komplett unterbinden.
Conficker verbreitet sich ohne Zutun des Benutzers durch die Ausnutzung einer Schwachstelle in Windows-Betriebssystemen. Er sucht aktiv im Internet nach Rechnern, die diese Schwachstelle aufweisen, und nistet sich auf ihnen ein. Dabei ist er allerdings etwas wählerisch: „Conficker.A greift keine Rechner an, die sich in der Ukraine befinden“, erklärt Tillmann Werner. Warum die dortigen Computer nicht befallen werden, ist den Experten allerdings bisher ein Rätsel: „Wir kennen die Motivation nicht, können den Umstand aber für unsere Zwecke nutzen“, sagt Felix Leder.
Conficker ausgetrickst
Um zu erkennen, ob sich ein Computer in der Ukraine befindet, verwendet Conficker die kostenlose Geo-Datenbank der Firma MaxMind. „Diese Datenbank funktioniert wie ein Telefonbuch. Zu jeder Adresse im Internet bekommt man den Standort des Computers genannt“, beschreibt Leder. MaxMind hatte bereits zu Beginn der Ausbreitung die Internetadresse der Datenbank verändert. Dadurch war Conficker nicht mehr in der Lage, den Standort der Rechner ausfindig zu machen.
Um den Wurm auszutricksen, haben Felix Leder und Tillmann Werner eine kompatible Datenbank entwickelt, die für jede Adresse die Ukraine als Standort zurückgibt. Durch diesen einfachen Trick getäuscht, greift Conficker.A keine Rechner mehr an, und eine weitere Verbreitung wird unterbunden.
Damit diese Strategie auch Früchte trägt, haben sich die beiden Bonner Forscher an Boris Zentner von der Firma MaxMind gewandt. Binnen 24 Stunden konnten sie die Idee mit seiner Hilfe in die Tat umsetzen. „Aktuell beobachten wir Millionen von Zugriffen pro Tag“, berichtet Tillmann Werner. „Wie stark die Anzahl an Infektionen zurückgehen wird, müssen wir abwarten. Auf jeden Fall haben wir einen kleinen Teil dazu beigetragen, die Ausbreitung zu unterbinden.“
Nun ist es wichtig, bereits infizierte Systeme zu bereinigen, damit die Infektion nicht wieder aufflackern kann. Dazu haben die Bonner Informatiker unter der Adresse http://four.cs.uni-bonn.de/conficker einige Hilfsprogramme zusammengestellt. Weitere Informationen stellt die Conficker Working Group (http://www.confickerworkinggroup.org) zur Verfügung.
Kontakt:
Felix Leder
Institut für Informatik IV, Universität Bonn
Telefon: 0228/73- 4117
E-mail: leder@cs.uni-bonn.de
Tillmann Werner
Institut für Informatik IV, Universität Bonn
Telefon: 0228/73-4587
E-mail: werner@cs.uni-bonn.de
Computerwurm Conficker wieder auf dem Vormarsch Computerwurm Conficker wieder auf dem Vormarsch
Bonner Forscher leiten Gegenmaßnahmen ein
Zwischenzeitlich war es um den Computerwurm „Conficker“, der am 1. April die ganze Welt bangen ließ, ruhig geworden. Nun hat die Anzahl der weltweit befallenen Rechner wieder stark zugenommen und erneut die 5-Millionen-Marke überschritten. Dabei verschont der Schädling allerdings Computer, die sich in der Ukraine befinden. Forscher der Universität Bonn nutzen diesen Umstand, um die Verbreitung des tückischen Wurms zu unterbinden. Dazu kooperieren sie mit der Firma MaxMind, einem Anbieter von Geolokalisierungsdiensten.