Der Sicherheitsdienstleister Symantec warnt vor einer neuen Variation des mutierten Wurms Conficker, von einigen Sicherheitsdienstleistern auch als Downadup bezeichnet. Auf dem infiziertem Rechner versucht der Wurm die laufenden Sicherheitsprogramme zu beenden und durchsucht den Rechner nach bestimmten laufenden Prozessen, dazu gehören auch Patches die eigentlich gegen den Wurm abzielen, um diese ebenfalls zu beenden. Anscheinend dienen die neuen Varianten als Eigenschutz der Virenschreiber um ihr eroberten System weiterhin unter Kontrolle zu behalten.
Befallen kann Conficker nur ungepatchte Systeme von Windows 2000 bis Windows Vista, auf denen ein seit Oktober 08 verfügbarer Patch gegen eine Sicherheitslücke nicht aufgespielt wurde. Zusätzlich kann ein Befall aber auch durch Wechselmedien wie USB-Sticks mittels einer gefälschten Autostartdatei erfolgen, sofern die Autorun-Funktion unter Windows aktiviert ist. Komfortabel lässt sich die Einstellungen zum Verhalten unter der Autostart-Funktion mit dem Tool TweakUI von Microsoft einstellen.
Ein möglichen Befall mit dem Wurm ist daran erkennbar, dass ein Updates der Antiviren-Software nicht mehr möglich ist und auch die Windows-Update Seite nicht mehr geladen werden kann, da generell ein Zugriff auf die Internetseiten von Microsoft blockiert wird. In internen Netzwerken versuchte der Wurm sich über schlecht gesicherte Netzwerkfreigaben zu verbreiten und verursacht erhöhten Datenverkehr auf Port 445.
Info zum kostenlosen Powertoy TweakUI von Microsoft
Symantec Security Response Blog
