Das hatte es schon lange nicht mehr gegeben: einen Computerwurm, der binnen Wochen Millionen von Windows-PC infiziert. Raffiniert ist die Schadsoftware programmiert, die seit Ende 2008 unterwegs ist. Sie nutzt nicht nur eine - seit Oktober eigentlich behobene - Schwachstelle vieler Windows-Versionen aus, sondern hindert zum Beispiel auch Antivirensoftware daran, aktuelle Virensteckbriefe nachzuladen. Doch was der "Conficker" oder "Downadup" genannte digitale Wurm eigentlich anstellen soll, darüber rätseln die Experten noch immer.
Gefährlicher Virus: Conficker erzeugt über einen eingebauten Generator jeden Tag 250 zufällige Internetadressen, die der digitale Wurm dann abklappert.
(Foto: Foto: dpa)Die Zeitschrift Computerbild kündigt einen Bericht an, wonach die Aufregung um den Wurm bloß ein Medienhype sei. Nicht Millionen, sondern allenfalls 500.000 Rechner seien von dem Schadprogramm befallen, berichtete das Blatt unter Berufung auf das unabhängige Magdeburger Labor AV-Test. Die Meldungen einiger Antiviren-Firmen von Millionen infizierten Computern seien "vorsichtig ausgedrückt grobe Schätzungen", sagte Guido Habicht, Geschäftsführer von AV-Test der Süddeutschen Zeitung, "wir messen diese Flut nicht".
Vorwurf der Panikmache
Nicht nur das finnische Antiviren-Unternehmen F-Secure, das vor rund zwei Wochen mit der Millionen-Meldung Schlagzeilen machte, wehrt sich nun gegen den Vorwurf der Panikmache. Auch Forscher vom amerikanischen Georgia Institute of Technology und aus Deutschland bestätigen, dass Millionen von Rechnern angesteckt wurden.
Die Forscher können das ermitteln, weil infizierte PC sich sozusagen von selbst bei ihnen melden. Vereinfacht dargestellt funktioniert das so: Die Schadsoftware erzeugt über einen eingebauten Generator Zufalls-Internetadressen, jeden Tag 250 neue. Bereits befallene Rechner klappern - vom Wurm gesteuert - diese Adressen ab. Sie sehen nach, ob es dort weitere Anweisungen für sie gibt. Einen Rechner unter einer dieser Adressen, könnten die Virenautoren nutzen, um Befehle an die infizierten Rechner zu geben.
Warten auf den Knall
Forscher haben zwar die Methode geknackt, nach der die 250 Adressen erzeugt werden - sie können aus Kostengründen aber nicht täglich alle für sich reservieren. Sie sichern sich jedoch einige davon und sehen dann, wie viele verwurmte Rechner sich melden. Thorsten Holz, Experte für Computersicherheit an der Universität Mannheim, hat Zugriff auf einen solchen sogenannten Honigtopf. "Allein am 1. Januar", sagt er, "gab es 7,3 Millionen Zugriffe." Holz hält die von F-Secure genannten Zahlen daher für durchaus realistisch.
Das dicke Ende kommt womöglich noch
Bislang richtet der Wurm keine größeren Schäden an. Netzwerkverwalter müssen lediglich die davon befallenen Geräte säubern. In infizierten Netzen können oft auch Benutzer nicht mehr am Computer arbeiten, weil ihnen der Zugang zum Netz versperrt wird.
Der Wurm versucht nämlich auch, sich über Firmennetze zu verbreiten und bringt dazu eine Liste hunderter gebräuchlicher Passwörter mit. Nach einigen Fehlversuchen blockieren viele Netze weitere Anmeldevorgänge. Die meisten befallenen Rechner gibt es in China, Russland und Brasilien, aber auch Deutschland bleibt davon nicht verschont, sagt Mikko Hyppönen von F-Secure, wo man pro Tag um die 20.000 PC registriert, die sich aus deutschen Netzen bei den Honigtöpfen melden.
Einige Experten befürchten, dass das dicke Ende noch kommen und der Wurm, der womöglich ukrainischen Ursprungs ist, die eigentliche Schadsoftware nachladen werde. Mikko Hyppönen dagegen hat seine eigene Theorie: "Ich glaube, da hat jemand was ausprobiert und dann wuchs ihm das über den Kopf", sagt er, "die Sache hat zu viel Aufmerksamkeit erregt."