HOME

PC-Wurm "Conficker": Angriff des cleveren Schädlings

Es ist alles andere als ein April-Scherz: Zum 1. April wird der bisher gefährlichste Computer-Wurm aktiv. Weltweit hat "Conficker" Millionen von Rechnern infiziert - und ist angeblich kaum zu stoppen. Experten befürchten das Schlimmste. stern.de beantwortet die wichtigsten Fragen zu Conficker und verrät, wie Sie ihren PC schützen können.

von Dominik Lechler

Wie schätzen Sie die Gefahr von Conficker ein?

Das letzte Mal, dass die Angst um unsere Computer eng mit einem bestimmten Datum zusammen hing, war zur Jahrtausendwende vor neun Jahren. Damals fürchtete man, dass die Datumsumstellung auf den 1. Januar 2000 viele PCs zum Absturz bringen würde, auch die von Banken und Regierungen. Letztendlich wurde aber allerorts gut vorgebeugt. Die Welt blieb von einem Massen-Exodus der PCs verschont. Mit dem 1. April rückt nun erneut ein Datum näher, vor dem Computerexperten eindringlich warnen. Schuld ist dieses Mal nicht das Millennium, sondern der Computerwurm "Conficker". Weil dessen Code bereits teilweise entschlüsselt ist, weiß man, dass der Parasit am 1. April erneut Kontakt zu seinen Entwicklern aufnimmt. Was dann passieren wird, können auch Experten nur vermuten.

Und so überschlagen sich die Prognosen: Die Programmierer hinter dem Schädling könnten nicht nur Regierungen und Behörden erpressen, sondern sogar Teile des weltweiten Internet-Netzes zusammenbrechen lassen. Jeder infizierte PC könnte von ihnen ferngesteuert, alle Daten darauf gelöscht werden. Ist die Panikmache also berechtigt? Oder wird sich die aktuelle Conficker-Version am 1. April lediglich ein Update herunterladen, um im Kampf gegen seine Verfolger die Oberhand zu behalten?

Denn inzwischen hat sich eine breite Firmenallianz dem Kampf gegen den cleversten Computerwurm aller Zeiten verschrieben. Angeführt von Microsoft arbeitet man dort fieberhaft an der Entschlüsselung des Programmcodes von "Conficker", um dessen Urheber ausfindig zu machen und die Verbreitung des gefährlichen Parasiten stoppen zu können. Ist die Gefahr also tatsächlich real?

Fest steht, dass den Autoren von "Conficker" mit ihrem Wurm eine mächtige und gefährliche Software-Waffe zur Verfügung steht. Doch wie genau sieht die Bedrohung durch den digitalen Schädling aus? stern.de hat mit Experten gesprochen und beantwortet die wichtigsten Fragen rund um den cleversten Computer-Wurm aller Zeiten: Wie macht man seinen heimischen PC sicher? Was wird am 1. April mit "Conficker" geschehen? Und was haben die Programmierer wirklich vor?

Ist "Conficker" der cleverste Wurm aller Zeiten?

In diesem Punkt sind sich die meisten Experten einig: "Conficker" ist definitiv der cleverste Computer-Wurm aller Zeiten. "Er macht leider alles richtig, was man richtig machen kann", sagt Magnus Kalkuhl von der IT-Sicherheitsfirma Kaspersky Labs. Einer der größten Faktoren seines "Erfolgs" ist die Fähigkeit, sich eigenständig zu aktualisieren und zu verbreiten. Zudem ist der Programm-Code durch aufwendige Verschlüsselungs-Algorithmen geschützt, sodass er von niemandem außer den Programmierern selbst gesteuert werden kann. Harald Philipp, der Geschäftsführer von des Sicherheitsunternehmens Bitdefender, hält "Conficker" zwar nicht für den gefährlichsten Wurm aller Zeiten, fasst dessen Wirken aber so zusammen: "Conficker ist clever programmiert, aggressiv und äußerst wehrhaft."

Außergewöhnlich ist, dass dabei immer die neueste Technik verwendet wird. So nutzte die erste Variante der gefährlichen Schadsoftware bereits ein sehr komplexes Verschlüsselung-Verfahren, das aber im Januar am Massachusetts Institute of Technology noch einmal weiterentwickelt wurde. Conficker.C enthielt dieses Update bereits. "Da wird eindeutig darauf Acht gegeben, immer auf dem aktuellen Stand zu sein", sagt Magnus Kalkuhl.

Wie viele Rechner sind weltweit befallen?

Bei der Frage nach der genauen Ausbreitung des "Conficker"-Wurms gehen die Schätzungen weit auseinander. "Wir gehen momentan von drei Millionen befallenen PCs weltweit aus", sagt Sicherheitsexperte Magnus Kalkuhl. Das sei allerdings eine eher konservative Schätzung. Bei Bitdefender rechnet man sogar mit maximal 17 Millionen infizierten PCs. So oder so steht den Programmierern dank "Conficker" nun das größte bekannte Bot-Netz der Welt zur Verfügung. Das ist ein illegales Netz aus Millionen gekaperter Privat- und Büro-PCs, das von Cyber-Kriminellen zu ihren Zwecken missbraucht werden kann.

Als Anfang des Jahres die Netzwerke der Bundeswehr sowie der französischen und britischen Streitkräfte von "Conficker" befallen wurden, sorgte das für besonderes Aufsehen. Die Behören brauchten teils Wochen, um ihre Systeme von dem Parasiten zu befreien. Das es sich dabei um gezielte Attacken gehandelt hat, ist aber äußerst unwahrscheinlich.

Wie kommt "Conficker" auf meinen Rechner?

Dass sich "Conficker" auf so vielen Rechnern findet, liegt auch daran, dass der Parasit ungewöhnlich viele Verbreitungswege nutzt. Die aktuelle C-Version verteilt sich meist über Email-Anhänge. Da ist es kein Zufall, dass viele der befallenen Rechner das Microsoft-Mail-Programm Outlook nutzen. "Wer die aktuellen Microsoft-Updates nicht installiert hat, ist mit Hilfe von Outlook leichte Beute für Conficker", erklärt Sicherheitsexperte Harald Philipp.

Der Wurm kopiert sich in Sekundenschnelle auch auf USB-Sticks und externe Festplatten, die an den PC angeschlossen werden - und das ganz selbstständig. Wenn die Geräte dann an einen anderen Rechner angeschlossen werden, nistet sich der Schädling auch dort ein.

Was kann ich tun, um einen Befall zu vermeiden?

Ursprünglich verbreitete sich "Conficker" über eine Sicherheitslücke im Windows-Betriebssystem. Microsoft schloss dieses Leck mit einem eilig nachgereichten Patch, den aber insbesondere viele große Unternehmen nicht schnell genug installierten. Um als Privatanwender nicht denselben Fehler zu begehen, sollte man stets die aktuellen Patches von Microsoft herunterladen. Wer zudem noch die neuesten Updates für seine Antiviren-Software installiert, ist vor "Conficker.C" momentan sicher.

In einer Firma reicht es, wenn sich die Schadsoftware nur auf einem einzigen Rechner einistet. Von dort aus versucht er aktiv, die Netzwerk-Passwörter zu knacken und sich über das Firmen-Netzwerk zu verbreiten. Magnus Kalkuhl von den Kaspersky Labs rät größeren Unternehmen deshalb, die Administratoren-Passwörter für die betriebsinternen Netzwerke absolut sicher zu machen.

Wie finde ich heraus, ob "Conficker" auf meinem PC ist und was richtet er dort für einen Schaden an?

Als Anwender merkt man zum jetzigen Zeitpunkt kaum, dass man den Schädling auf dem Rechner hat. Die aktuelle C-Varinate des "Conficker"-Wurms beeinträchtigt die Performance des PCs so gut wie gar nicht. "Der Wurm isoliert sich im Betriebssystem und wird quasi unantastbar", erklärt Magnus Kalkuhl. Um das zu erreichen sperrt der Schädling den Zugriff auf Webseiten, von denen man sich Antiviren-Software herunterladen kann. Die einfachste Möglichkeit, den eigenen Rechner auf Virenbefall zu überprüfen, ist also, im Browser Adressen wie mcafee.com, symantec.com oder kaspersky.com zu öffnen. Wenn diese einwandfrei angezeigt werden, ist der PC nicht von "Conficker" infiziert.

Sollte es beim Aufrufen der Seiten zu Problemen kommen und zudem die Live Update-Funktion von Windows nicht funktionieren, ist die Wahrscheinlichkeit hoch, dass der eigene Rechner von "Conficker.C" befallen ist. In diesem Fall ist es für die Programmierer des Wurms kein Problem, den kompromittierten PC jederzeit vollständig zu kapern. "Das ist ungefähr so, als würde man die Haustür sperrangelweit offen lassen, wenn man Einkaufen geht", sagt der Geschäftsführer von Bitdefender, Harald Philipp. Zudem verbreitet sich der Parasit weiter und aktualisiert sich, so wie es auch am 1. April der Fall sein wird.

Teil dieses Updates könnte auch ein Code-Fragment sein, welches das riesige Bot-Netz aus Millionen von Rechnern aktiviert. Jeder der infizierten PCs kann dann von Cyber-Kriminellen leicht missbraucht werden, etwa für das massenhafte Versenden von Spam-Mails. "In diesem Fall geht die Performance gnadenlos nach unten", sagt Harald Philipp. Der Rechner wird nicht nur quälend langsam, auch das Aufrufen von Internet-Seiten wird schwierig, da alle Ressourcen zum Verschicken der Spam-Mails aufgebraucht werden.

Was kann ich tun, um "Conficker" wieder los zu werden?

"Conficker" nistet sich ganz tief im System ein und ist manuell nur sehr schwer zu entfernen. Eine ausführliche Anleitung, wie man den hartnäckigen Parasiten wieder vom System bekommt, <linl adr="https://www.microsoft.com/germany/athome/security/viruses/conficker.mspx">kann man auf der Microsoft-Seite abrufen.

Einfacher geht es mit einem Tool, dass sich Nutzer kostenlos unter bdtools.net herunterladen können. Damit lässt sich die Schadsoftware schnell und unkompliziert entfernen. Anschließend sollte das Betriebssystem aktualisiert und eine Schutzsoftware installiert werden.

Was geschieht mit "Conficker" am 1. April?

Die von Microsoft ins Leben gerufene Firmenallianz "Conficker Cabal", die sich aus Organisationen von Microsoft und IT-Sicherheitsfirmen zusammensetzt, hat den Programm-Code des "Conficker.C"-Wurms inzwischen isoliert und zumindest teilweise entschlüsseln können. Dank der so gewonnen Informationen wissen die Experten, dass der Schädling am 1. April erneut Kontakt zu seinen Entwicklern aufnehmen wird, indem er von 500 Internet-Adressen neuen Code herunterlädt. Da die C-Variante von "Conficker" aber pro Tag 50.000 wahllose Domains generiert, ist es quasi unmöglich, jene 500 zu einzugrenzen, auf die am 1. April zugegriffen wird. Die Industrie kann also nur tatenlos zusehen.

Trotz des markanten Datums ist sich Harald Philipp sicher: "Bei Bitdefender gehen wir nicht davon aus, dass es sich um einen Aprilscherz handelt." Wie genau der neue Code den gefährlichen Wurm verändern wird, kann aber niemand mit Sicherheit voraussagen. "Wahrscheinlich wird sich Conficker lediglich ein Update herunterladen", vermutet Magnus Kalkuhl von den Kaspersky Labs. "Er wird stabiler, aber auch aggressiver sein, sodass seine Autoren ihn dann operativ einsetzen können."

Was werden die Programmierer mit "Conficker" anstellen?

Das ist auch unter Experten die große Frage. Fest steht: Durch seine rasante Verbreitung hat der "Conficker"-Wurm ein weltweites Bot-Netz geschaffen, ein illegales Netz aus Millionen gekaperter Privat- und Büro-PCs. "Im Prinzip kann es dasselbe, wie jedes andere Bot-Netz", sagt Magnus Kahlkul von den Kaspersky Labs. Nur das es ungleich größer ist. Den Entwicklern steht so eine gefährliche Waffe zur Verfügung. Rein theoretisch könnten sie jeden befallenen Rechner quasi fernsteuern und beispielsweise Dateien löschen oder direkt das gesamte System zum Absturz bringen. Das ist aber äußerst unwahrscheinlich, denn so würden die "Conficker"-Autoren sich ihr mühsam erstelltes Bot-Netz schließlich selbst zerstören.

Als sehr viel plausibler betrachten die Experten kommerzielle Beweggründe der Entwickler. Das bestätigt auch Magnus Kalkuhl: "Die Autoren wollen ihre Ernte einfahren." Denn das riesige Bot-Netz lässt sich leicht zu Geld machen, indem die Programmierer es Stück für Stück vermieten. Illegale Betreiber könnten dann beispielsweise so genannte "Denial of Service"-Attacken gegen Firmen-Webseiten starten. Dabei wird ein gekaperter PC so programmiert, dass er eine bestimmte Webseite dauerhaft mit Anfragen bombardiert. Bei kleineren Seiten reichen da schon 30 bis 40 zusammengeschaltete Rechner, um den Server zum Absturz zu bringen. Im Bot-Netz von "Conficker" sind mehrere Millionen Rechner zusammengeschaltet, die jede Seite im World Wide Web problemlos lahmlegen könnten. Betroffene Firmen werden dann erpresst, damit die Attacke endet.

Wird man die Verbreitung von "Conficker" stoppen können?

Den digitalen Schädling gänzlich aufzuhalten würde nur gelingen, wenn man die Programmierer beziehungsweise deren Server ausfindig macht. Anhand des Programm-Codes von "Conficker" auf dessen Entwickler Rückschlüsse zu ziehen, ist aber äußerst schwierig. Einen groben Hinweis liefert möglicherweise die Tatsache, dass PCs, die an eine ukrainische Tastatur angeschlossen sind, von dem Schädling nicht befallen werden. Dass der Parasit seinen Ursprung also in der Ukraine hat, hält Magnus Kalkuhl von den Kaspersky Labs allerdings für sehr fraglich: "Die Autoren wissen sehr genau, dass ihr Wurm unter größter Beobachtung steht", sagt er. Der vermeintliche Hinweis sei also wohl eher eine Finte.

Mircosoft hat auf die Entwickler ein Kopfgeld von 250.000 Dollar ausgesetzt. Markus Kalkuhl hält das für die größte Chance, den Wurm aufzuhalten, denn wenn jemand die Programmierer kennt und sie wegen der Belohnung bei der Polizei meldet, könnte man die Bedrohung durch "Conficker" enorm eindämmen. "Anders wird man den Schädling kaum stoppen können."

Dominik Lechler
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.