Die vorletzte Novemberwoche markierte den dritten Jahrestag des ersten verzeichneten Auftauchens des Conficker-Wurms, der seit 2008 Millionen ungeschützter Rechner befiel und mit seinen Abkömmlingen trotz Patches, Aufklärung und massiver Gegenmaßnahmen bis heute aktiv ist und eine Gefahr darstellt. Sophos fasste die Historie des Wurms in einem kurzen Beitrag im NakedSecurity-Blog zusammen.

Der am 21. November 2008 erstmals in freier Wildbahn registrierte Wurm verbreitet sich ursprünglich durch den Exploit einer Windows-Sicherheitslücke, die Microsoft eigentlich schon am 23. Oktober 2008 mit dem Security-Bulletin MS08-067 und entsprechenden Patches adressiert hatte – also einen vollen Monat, bevor Conficker seinen Angriff begann.

Das sich Conficker anfänglich so schnell verbreiten konnte, obwohl die Sicherheitslücke dank der bereitstehender Patches eigentlich behoben war, ist ein deutlicher Hinweis auf die mangelnde Sensitivität vieler Anwender gegenüber der Wichtigkeit von Security-Patches und der zeitverzögerten Installation derselben.

In der Folge agierte Conficker zunehmend unabhängig von der oben beschriebenen Sicherheitslücke und verbreitete sich erst über Datei- und Druckdienstfreigaben in Netzwerken und schließlich über USB-Massenspeicher und andere Wechseldatenträger. Dabei nutzte er die AutoRun-/AutoPlay-Funktionalität von Windows, die schließlich von Microsoft im Februar 2011 abgeschaltet wurde. Ab April 2009 wurden zusätzlich zunehmende P2P-Aktivitäten neuer Varianten des Wurms festgestellt, die sich auf diesem Weg mit neuen Code-Bestandteilen versorgten.

Schätzungen gehen davon aus, dass Conficker zur Höhepunkt seiner Verbreitung rund elf Millionen Rechner weltweit infiziert hatte. Damit war er zwar nicht ganz so weit verbreitet, wie man das nach einer Lektüre der teils schon panischen Medienberichte Ende 2008 und Anfang 2009 hätte vermuteten können, aber für einen Wurm ist dies schon eine – leider – beeindruckende Erfolgsbilanz.

Und das ist nur eine Seite der Medaille: Conficker ist nämlich auch heute noch – drei Jahre nach der ersten Sichtung und trotz aller vorhandenen Schutzmaßnahmen – aktiv und laut Sophos immer noch die weltweit größte Gefahr für Netzwerke. Laut der Conficker Working Group – übrigens eine hervorragende Quelle für eine vertiefende Lektüre rund um den Wurm – sind immer noch rund 3,25 Millionen Computer weltweit mit Conficker infiziert. Aber immerhin ist der Trend positiv: Im Dezember 2010 waren es noch 5 Millionen.

Interessant ist auch, dass das von Microsoft am 12. Februar 2009 ausgelobte Kopfgeld von 250.000 US-Dollar für die Identifizierung des oder der Autoren des Conficker-Wurms noch nicht ausbezahlt wurde. Wer den Wurm ursprünglich programmiert und auf das Internet losgelassen hatte, ist auch heute noch unklar.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.