Sophos identifiziert Webseiten, die von Conficker-verseuchten PCs gezielt aufgerufen werden – Denial of Service Probleme erwartet
Sophos ermahnt Betreiber von seriösen Webseiten und Internet-Nutzer im März zu erhöhter Wachsamkeit. So haben die Experten der SophosLabs einen Mechanismus entdeckt, mit dem der Conficker-Wurm versucht, Code oder Anweisungen seines Programmierers von seriösen Websites herunterzuladen. Dafür versucht jeder PC, der mit Conficker infiziert ist, auf bestimmte Webseiten zuzugreifen. Die Domain-Namen werden dabei automatisch aus algorithmisch berechneten Buchstabenfolgen gewählt. In Folge erwarten die SophosLabs, dass einige seriöse Webseiten mit Denial-of-Service-Problemen zu kämpfen haben werden, wenn sie von Hunderttausenden von PCs aus dem Conficker-Botnetz kontaktiert werden. Für die Internet-Nutzer besteht hingegen erst dann eine Gefahr, wenn es dem Programmierer des Schädlings gelingt, tatsächlich Schadcode auf einer seriösen Website zu platzieren, den Conficker dann auf die infizierten PCs herunterlädt. Noch ist offen, ob der Schadcode daraufhin das Botnetz zum Versand von Spam verwendet oder andere gefährlichere Malware auf den PCs platziert.
Christoph Hardy, Security Consultant bei Sophos: ‘Der Wurm generiert per Algorithmus selbständig eine Liste mit Internet-Adressen, die quasi aus zufälligen Buchstabenkombinationen bestehen. Diese werden dann von den infizierten PCs regelmäßig kontaktiert, um zu prüfen, ob dort neue Befehle für Conficker hinterlegt wurden. Durch diesen Automatismus nützt es nichts, wenn einzelne Websites abgeschaltet werden. Ziel des kriminellen Wurmautors ist es, dass Conficker auf diesem Weg eines Tages eine Website erreicht, auf der er zuvor weitere Anweisungen für seinen Wurm platzieren konnte. Sollte dies gelingen, wird das aus den infizierten Computern bestehende Botnetz vermutlich dazu missbraucht, um Spam zu versenden oder noch schlimmer, die PCs ahnungsloser Anwender mit möglicherweise gefährlichem Schadcode zu infizieren.’
Mittlerweile sind bereits einige seriöse Websites identifiziert, die Conficker an bestimmten Tagen im März heimsuchen wird. Dazu gehören:
- am 8. März das Musikportal jogli.com,
- am 13. März die Domain wnsux.com, die auf die Website der US-amerikanischen Fluglinie Southwest Airlines umleitet,
- am 18. März das Portal einer chinesischen Frauenorganisation unter qhflh.com sowie
- am 31. März praat.org, eine Webseite für computergestützte Sprachanalyse.
Es ist nicht auszuschließen, dass weitere, darunter auch deutschsprachige Internet-Angebote, angegriffen werden, deren Domainnamen aus mehr oder weniger zufällig zusammengesetzten Buchstabenfolgen bestehen. Selbst wenn auf den Seiten kein Schadcode platziert wird, müssen die Betreiber dennoch damit rechnen, dass ihre Websites unter dem Ansturm des Conficker-Botnetzes überlastet sein werden. Sophos hat mit den Betreibern der bereits identifizierten Internet-Angebote Kontakt aufgenommen und berät sie dabei, ihre Websites entsprechend zu sichern.
PCs und Webserver stets aktualisieren und schützen
Um sich vor derartigen Attacken zu schützen, empfiehlt Sophos Unternehmen und PC-Anwendern, immer die neuesten Patches und Updates einzuspielen sowie stets aktuelle Antiviren-Software zu verwenden.
Administratoren von Webseiten sollten ihre Seiten ebenfalls stets mit aktualisierten Programmversionen betreiben und darauf achten, dass der Serverzugriff abgesichert ist.
***
Sophos bietet Unternehmen IT-Lösungen an, mit denen sie ihre IT-Infrastruktur zuverlässig schützen und kontrollieren. Die Firma ergänzt diese durch durch innovative E-Mail- und Web-Sicherheitsprodukte, die den E-Mail- und Internet-Verkehr auf Sicherheitsbedrohungen, Spam sowie Richtlinienverletzungen hin überwachen und filtern. Weitere Informationen unter: http://www.sophos.de.
0 Kommentare