Der Conficker-Wurm hat Millionen PCs unter seine Kontrolle gebracht. Technische Gegenmaßnahmen waren erfolglos – jetzt sucht Microsoft den Verursacher.Die technischen Mittel scheinen ausgeschöpft – nun wird Microsoft persönlich: Statt den Conficker-Virus nur auf den Rechnern seiner Kunden zu bekämpfen, setzt Microsoft eine Belohnung von 250 000 US-Dollar (circa 195 000 Euro) auf den Autor des Virus aus. „Die Belohnung wird in jedem Land ausgezahlt“ versichert der IT-Konzern und eröffnet damit die Jagd auf die Kriminellen, die den gefährlichen Virus geschaffen haben.
Der Virus, der als „Conficker“ oder auch „Downadup“ bekannt ist, hat eine erstaunliche Karriere hinter sich: In weniger als drei Monaten hat der Wurm bis zu neun Millionen Computer unter seine Kontrolle gebracht. Nicht nur Privat-PCs sind betroffen: Gerade in Firmennetzwerken setzt sich der digitale Schädling fest, spioniert Passwörter aus und deaktiviert Sicherheitsprogramme. So musste die Kärtner Landesregierung Anfang Januar über 3000 Rechner abschalten, um sie von dem Virus zu befreien, auch die britische Armee fand den Wurm auf ihren Rechnern, Ministerien, Banken und Krankenhäuser waren betroffen.
Sicherheitslücke längst geschlossen
Am 21. November hatte Microsoft den Virus das erste Mal als Gefahr identifiziert. Der Wurm nutzte eine Schwachstelle im Betriebssystem Windows XP aus, um die Kontrolle über Rechner zu übernehmen und ständig neue PCs zu infizieren. Dabei nutzt der Wurm mehrere Übertragungswege: Er verbreitet sich zum Beispiel über das Internet, infizierte Datenträger wie USB-Sticks oder auch über Dateifreigaben.
Längst hat Microsoft auch das konzerneigene Anti-Malware-Programm auf den Virus angesetzt – allerdings ohne durchschlagenden Erfolg. „Wir wollen nun unsere Expertise mit der einer breiten Community bündeln, um die Menschen weltweit besser zu schützen“, erklärt Microsoft-Manager George Stathakopoulos. Auf Deutsch: Der IT-Konzern ist mit seiner Weisheit am Ende.
„Kunden spielen russisches Roulette“
Denn Microsoft hatte die Sicherheitslücke eigentlich schon im Oktober gestopft. Doch viele Firmen spielten das notwendige Sicherheits-Update nicht ein. „Diese Kunden spielen mit ihren Rechnern russisches Roulette“, schrieb Microsoft-Manager Roger Halbheer im Januar in seinem Weblog. Der Microsoft-Support war über die Feiertage bis an die Grenzen ausgelastet, um den Virenopfern zu helfen. Besonders frustrierend für Halbheer: Hätten die Kunden die grundlegendsten Sicherheitsregeln beachtet, wäre ihnen die Infektion erspart geblieben. So erkennen alle Anti-Viren-Programme heute die zwei Varianten des Virus.
Die infizierten Rechner bilden ein sogenanntes „Botnetz“, das auf Anweisung von Kriminellen Passwörter und Kontodaten ausspionieren, Spam versenden oder sogar zentrale Internet-Server attackieren kann. Besonders raffiniert: Statt seine Anweisungen von einem zentralen Server abzuholen, generiert der Virus täglich eine Liste von 250 neuen Domains, unter denen er nach neuen Anweisungen sucht. Die Kriminellen müssen nur eine dieser Domains kurzfristig unter ihre Kontrolle bekommen, um das Heer der infizierten Rechner zu steuern.
Raffinierter Verbreitungsmechanismus
Computerexperten hatten den Verbreitungsmechanismus längst nachvollzogen und konnten die Kommunikation des Virus mit seinen Schöpfern analysieren. Doch die Überlegung, das Botnetz zu übernehmen und diesem eigene Anweisungen zu geben, scheiterten nicht zuletzt an rechtlichen Bedenken. Mittlerweile hat sich auch die internationale Domain-Verwaltung ICANN eingeschaltet. Ob die Organisation aber erwägt, die Domain-Namen zu sperren, die für die Verbreitung des Virus genutzt werden, ist noch unklar. Auch schärfere Richtlinien zur Vergabe von Domain-Namen könnten helfen. Immer wieder machen unseriöse oder nachlässige Provider den Kriminellen das Handwerk unnötig einfach.
Die Bundeswehr kämpft mit dem besonders hartnäckigen Computer-Virus Conficker. Seit Donnerstag habe sich der Virus auf mehreren hundert Computern verschiedener Dienststellen der Bundeswehr verbreitet, teilte ein Sprecher des Bundesverteidigungsministeriums am Freitagabend in Berlin mit. „Einzelne betroffene Dienststellen wurden vom Bundeswehr-Netzwerk getrennt, um eine weitere Ausbreitung der Schadsoftware zu verhindern.“ Demnach arbeiten das Computer Emergency Response Team der Bundeswehr (CERTBw) und das Unternehmen BWI Informationstechnik daran, Conficker von den Bundeswehr-Rechnern zu entfernen, damit die Computersysteme wieder einsatzfähig sind.
focus.de