Windows-Virus Conficker infiziert zehn Millionen Computer

Der Wurm Conficker breitet sich rasend schnell in Firmennetzwerken aus. Er tritt in immer neuen Verkleidungen auf - das macht ihn besonders heimtückisch.

Von Helmut-Martin Jung

Ein besonders trickreicher Computerschädling breitet sich mit rasender Geschwindigkeit in Firmennetzwerken aus. Der Conficker, Downadup oder Kido genannte Computerwurm wird nicht nur über infizierte E-Mails eingeschleppt, sondern vor allem über USB-Sticks und Laptops. Betroffen sind weltweit bereits neun bis zehn Millionen Computer mit Windows-Betriebssystem, vor wenigen Tagen waren es noch drei Millionen.

Virenalarm: Laut Internet-Sicherheitsunternehmen sieht der Wurm im Internet auf die Uhr, bevor er bestimmte Operationen startet.

(Foto: Foto: dpa)

Windows-Hersteller Microsoft hatte zwar schon im Oktober eine Reparatursoftware bereitgestellt. Doch viele Systemverwalter legten keine besondere Eile an den Tag, weshalb auch Roger Halbheer, Microsofts Sicherheitschef für Europa, den Experten vorwarf, sie spielten russisches Roulette. Systemverwalter müssen allerdings die Updates immer erst darauf prüfen, ob sie sich mit der im Haus verwendeten Software vertragen.

Das Schadprogramm tritt nicht nur ständig in neuen Verkleidungen auf. Es setzt auch Schutzprogramme außer Kraft und versucht sogar, mit einer Liste gängiger Passwörter Zugang zum gesamten Netzwerk zu erhalten. Das kann dazu führen, dass die Zugänge automatisch gesperrt werden. Das ist dann der Fall, wenn sie nur eine bestimmte Anzahl von Fehlversuchen zulassen - so geschehen in einem Krankenhaus in Österreich.

Schadsoftware mit Hintertürchen

Wie Internet-Sicherheitsunternehmen weiter festgestellt haben, sieht der Wurm im Internet auf die Uhr, bevor er bestimmte Operationen startet. Hat er sich erst einmal eingenistet, kann er weitere Software herunterladen, darunter auch solche zum Ausspähen der befallenen Rechner oder zum Versenden von Spam-Mails. Was genau das Ziel der bisher unbekannten Autoren des Wurms ist, lässt sich bisher noch nicht sagen.

Der Wurm speichert Kopien von sich unter zufällig gewählten Namen im Windows-Systemordner ab. Sie alle haben die Endung .dll und tragen als Datum das der Windows-Datei kernel32.dll. Außerdem dichtet er die Lücke gegen weitere Angriffe ab, nur für sich selbst lässt die Schadsoftware ein Hintertürchen offen.

Kompletter Scan

Auf befallenen Computern hängt sich der Wurm an die Windows-Prozesse svchost.exe, explorer.exe und services.exe. Er setzt außerdem eine Reihe von Sicherheitsoptionen außer Kraft, unter anderem die automatische Update-Funktion von Windows, den Windows Defender und den Fehler-Benachrichtigungsdienst und versucht, den Zugriff auf die Internetseiten von Anbietern von Antivirensoftware zu unterbinden.

Aktuelle Antivirenprogramme erkennen den Wurm inzwischen. Dazu muss ein kompletter Scan über alle Dateien gemacht werden, was einige Stunden dauern kann. Microsoft gibt auf seiner Internetseite Tipps, wie man seinen Rechner wieder sauber bekommt.