Botnetz: Der Conficker-Wurm wartet

Es ist sehr still geworden um das Botnetz Conficker. Selbst Mikko Hypponen, Leiter der Malware-Forschung beim finnischen Antivirenhersteller F-Secure, wollte auf der Black Hat Sicherheitskonferenz keine neuen Informationen liefern. Als Begründung gab der Sicherheitsexperte gegenüber der amerikanischen Zeitschrift "Network World" an, dass die Veröffentlichung der ihm vorliegenden Informationen die Arbeit der Behörden behindern könne.

Inhaltsverzeichnis

1. 1Weltweit größtes Botnetz schlummert
2. 2Eine Million infizierter Rechner
3. 3Erwartete Angriffswelle bleibt aus

Weltweit größtes Botnetz schlummert

In den vergangenen Monaten brachte die Conficker Working Group, für die auch Hypponen arbeitet, neue Details über das Botnetz in Erfahrung. Das Conficker-Netzwerk ist vermutlich das derzeit größte Netzwerk gekaperter Computer weltweit. So vermutet die Arbeitsgruppe nun, dass Conficker seinen Ursprung in der Ukraine hat: Der Conficker-Wurm überprüft nämlich vor der Infizierung eines Rechners dessen IP-Adresse und nistet sich nicht auf den Computern ukrainische Anwender ein - vermutlich, um die dortigen Behörden nicht auf den Plan zu rufen.

Andernorts hingegen übernimmt der Conficker-Wurm nach erfolgreichem Eindringen unbemerkt die Kontrolle über den befallenen Rechner - und gliedert ihn so in das Botnet ein. Doch das Conficker-Netz versendet derzeit weder Spam-Nachrichten, noch gibt es Berichte über Phishingattacken durch die Conficker-Bots. Als gewöhnliche Einnahmequelle wird Conficker also nicht genutzt - obwohl der Wurm die entsprechenden Module aufweist. Die Betreiber von Conficker haben vermutlich andere Pläne für den Wurm.

Eine Million infizierter Rechner

Noch vor sechs Monaten hatte Hypponen angenommen, dass das Conficker-Netz spätestens im Juli 2009 abgeschaltet sein werde - und die Botnetz-Betreiber hinter Gittern. Im Frühjahr 2009 gingen Aussagen über die Anzahl der von Conficker befallenen Rechner je nach Quelle von drei bis zwölf Millionen betroffenen Computern aus.

Doch auch bei konservativer Schätzung stehen dem Botnetz am heutigen Tag noch mindestens eine Million infizierter Computer zur Verfügung. Wozu diese beachtliche Rechenleistung eingesetzt werden soll, und welches Geschäftskonzept hinter dem Conficker-Netz steht, ist derzeit noch unklar.

Erwartete Angriffswelle bleibt aus

Ebenfalls im Frühjahr dieses Jahren entdeckten Sicherheitsexperten im Code des Conficker-Wurms einen Hinweis auf ein geplantes Update. Warnungen über eine Spamwalle und großflächige Denial-of-Service-Angriffe machten die Runde. Passiert ist nichts, der Wurm führte lediglich ein verspätetes Update aus.

Seitdem hüllt sich die Conficker Working Group in Schweigen, und auch der Wurm zeigt keine weiteren Aktivitäten. Eine neue These zum unerwarteten Schönheitsschlaft des Schädlings liefert nun der Österreichische Rundfunk (ORF): Nach Angaben dessen Online-IT-Magazines "futurezone" könne sich das Botnetz schließlich im Sommerurlaub befinden.

Links zum Thema

• Artikel über Conficker bei Futurezone