Die neuste Generation von Viren ist wandlungsfähig und hartnäckig. Sicherheitsexperten warnen: Der Wurm Downadup gehört zu der Sorte von Virus, die sich nicht nur schnell einnistet, sondern auch extrem schwer wieder zu entfernen ist.
Seit Anfang des Jahres 2009 ist ein neuer Wurm in den endlosen Weiten des Internet unterwegs. „Downadup“, der auch unter dem Namen „Conficker“ bekannt ist, bezeichnet eine ganze Gruppe von Netzwerk-Würmern, die bei Privatanwendern, besonders aber in Firmennetzwerken, großen Schaden anrichten können.
Verbreitung durch politische Nachrichten
Die Verbreitung des Wurmes erfolgt dabei zum einen auf ganz traditionellem Wege wie beispielsweise durch Trojaner, die sich durch dynamische Inhalte von Websites eingefangen werden können. Eine andere, weitaus hinterhältigere Methode ist es allerdings, Emails zu verbreiten, die mit der Präsidentschaft von Barack Obama zu tun haben und damit auf die naturgegebene Neugier der Menschen abzielt. Laut Angaben des ZDF und Sicherheitsexperten des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI, sind Emails mit solchen Inhalten vermehrt zu beobachten. Sehr häufig geht es in diesen Nachrichten darum, dass Barack Obama die Präsidentschaft abgelehnt hätte oder um ähnliche sensationelle Meldungen. Wird dem angegebenen Link gefolgt, lädt sich allerdings nur Downadup herunter und der Infizierung ist damit Tür und Tor geöffnet.
Verbreitung von Downadup
Laut den Zahlen und Prognosen der Sicherheitsexperten von F-Secure, wurden bereits in den ersten vier Tagen mehr als 6,5 Millionen Rechnern infiziert und aktuell (Stand: 19.01.2009) sollen es sogar annähernd 9 Millionen sein. Die Verbreitung kann vielfältig geschehen, so ist beispielsweise eine Windows-Sicherheitslücke, die unter der Kennnummer MS08-067 geführt wird, eine beliebte Methode der Verbreitung. Ebenfalls ist die Weitergabe durch infizierte Notebooks, die in Firmennetzwerke angebunden werden möglich oder die Benutzung von USB-Speichermedien und Netzlaufwerken.
Das Verhalten des Wurms
Hat sich Downadup erst mal eingenistet, ist es extrem schwer, ihn wieder loszuwerden. Ein typisches Problem ist beispielsweise das Blockieren von unterschiedlichen Netzwerkzugängen, bis hin zu der kompletten Sperrung betroffener Accounts. Downadup verschafft sich auf verschiedenste Wege Zugänge zu Passwörtern und Accountinformationen, die dann benutzt werden. Hat sich der Wurm auf dem infizierten Rechner etabliert, verteidigt er sich aggressiv gegen eine mögliche Eliminierung. Zu den Methoden der Wahl gehört unter anderem ein Prozess, in dem sich Downadup in den Boot-Vorgang integriert und neue Datei-Rechte für die infizierten Files vergibt, so das diese nicht mehr gelöscht werden können. Ebenfalls lädt der Wurm ständig neue Versionen von sich selbst herunter, in dem er Server anspricht, die mit dem Domainnamen angesprochen werden, der wiederum durch einen komplexen Algorithmus generiert wird. Durch die sich ständig ändernde Signatur des Wurmes fällt es herkömmlichen Anti-Viren-Programmen schwer, die Gefahr zu erkennen und zu eliminieren.
Hilfe bei einer Infektion
Es gibt unterschiedliche Anzeichen, die zu dem Schluss führen sollten, dass ein Rechner infiziert ist. Erhöhte Netzwerkaktivität, höhere Prozessorauslastung und deaktivierte Benutzeraccounts sind ein sicheres Zeichen für Downadup. Ebenfalls gibt es einige Varianten des Wurmes, die einen Zugriff auf alle gängigen Websites von Herstellern von Anti-Viren-Software verhindert. Ist über den eigenen Rechner kein Zugriff mehr möglich, muss ein anderer Rechner benutzt werden, da es momentan nur die Möglichkeit gibt, bestimmten Schritten zu folgen, die den Wurm entfernen können, sehr oft auch unter Zuhilfenahme von bestimmter Software. Details hierzu können auf den Websites von Herstellern von Anti-Virus-Produkten gefunden werden.