Conficker: Aktualisierung gestartet, Abschaltung am 3. Mai

Rund eine Woche später als erwartet begann der Windows-Wurm Conficker sich zu aktualisieren. Zum ersten Mal läuft das Update auch über ein Peer-to-Peer-Direktverbindung (P2P) zwischen den infizierten Rechnern. Am 3. Mai 2009 soll sich das Programm beenden - ob es sich vorher erneut aktualisiert, ist unklar. Seinen Urhebern ist daran eventuell nicht mehr viel gelegen. Sie haben begonnen, mit Conficker Geld zu verdienen.

Der 1. April 2009 war der Starttermin für die derzeit laufende Aktualisierung des Computer-Virus Conficker. Ab diesem Datum sollte das schädliche Windows-Programm sich mit Aktualisierungen versorgen. Die Virusexperten von Trendmicro registrierten die ersten Übertragungen des Updates am 7. April. Zum ersten Mal nutzt Conficker für die Aktualisierung nicht nur den Download von Servern, sondern auch ein eigenes P2P-Netzwerk, das zwischen den infizierten Rechnern besteht.

Die aktuelle Version von Conficker wählt ihren Dateinamen und die Bezeichnung für ihren Prozess zufällig. Wahrscheinlich um zu überprüfen, ob eine Internetverbindung besteht, und zur Kontrolle des Datums stellt sie eine Verbindung zu folgenden Internetseiten her: myspace.com, msn.com, ebay.com, cnn.com sowie aol.com. Des Weiteren öffnet sie den Port 5114 und "belauscht" mit einem eingebauten HTTP-Server Verbindungsanfragen.

Den Experten von Trendmicro zufolge schaltet sich die aktuelle Version von Conficker, die sie "WORM_DOWNAD.E" nennen, am 3. Mai 2009 ab. Dass die Programmierer des Windows-Wurms sie vorher durch eine weitere Version ersetzen, können die Virusanalysten nicht ausschließen.

Conficker-Macher wollen Geld verdienen

Schon viel ist über die Motive der Urheber von Conficker spekuliert worden. Letztendlich scheint es sich am Ende wieder einmal ums Geld zu drehen. Nach der Aktualisierung installiert der Windows-Wurm den Virusexperten aus den Kaspersky Labs zufolge eine so genannte Scareware namens "Spyware Protect 2009" auf dem befallenen Rechner. Diese Programm soll mit falschen Warnmeldungen den Computerbesitzer verängstigen (engl.: to scare). Das Programm bietet sich sogleich zum Kauf an und verspricht ein Ende der angeblichen Bedrohungen.

So sieht das Täuschungsprogramm "Spyware Protect 2009", das Conficker installiert, aus.

49,95 Dollar soll das Programm, das Conficker von einem Server in der Ukraine herunterlädt, kosten. Im günstigsten Fall ist ein Betroffener, der zahlt, das nervige Programm los und hat seine Ruhe. Im schlechtesten Fall holt er sich mit dem Programm weitere Spionage- und Schadprogramme auf den Rechner. Der Download-Server für "Spyware Protect 2009" ist ein weiterer Hinweis darauf, dass die Urheber von Conficker aus Osteuropa stammen. Die erste Version von Conficker schaltete sich aus, sobald sie an einem Computer eine Tastatur mit ukrainischen Layout feststellte.

Gefahr erkannt, aber noch nicht gebannt

Die Gefahr von Conficker ist noch nicht vorbei. Bisher bemühte sich der Virus nur darum, sich zu verbreiten und möglichst viele Rechner zu infizieren. Seit der letzten Aktualisierung vom 7. April beginnt er Schaden anzurichten, indem er mit unnützen Sicherheitsprogrammen versucht, Computerbesitzern das Geld aus der Tasche zu ziehen.

Nach wie vor gilt: Vor Conficker schützt am besten ein Windows-Betriebssystem und Antivirusprogramme, die ständig auf dem neuesten Stand gehalten werden. Sollte ein Ihnen unbekanntes Programm Sie mit Warnmeldungen zum Kauf desselbigen animieren wollen, seien Sie misstrauisch und greifen lieber zu einem Produkt von namhaften Sicherheitssoftware-Anbietern. Eine Auswahl an kostenlosen Virenschutzprogrammen sowie Software, die vor Spy- und Adware schützt, finden Sie im Download-Archiv von netzwelt.