DOWNAD: Fünf Jahre alt und kein bisschen müde

Originalartikel von Ryan Certeza, Technical Communications

Conficker/DOWNAD tauchte vor fünf Jahren auf, und die schnelle Verbreitung sowie der hohe Schaden, den er anrichtete, brachte dem Schädling schnell negative Schlagzeilen. Bemerkenswert ist, dass er nach all der Zeit immer noch am Leben ist und eine ernsthafte Gefahr darstellt.

Der Schädling kann sich auf weitere Systeme in demselben Netzwerk ausbreiten, und das erklärt die auch heute noch hohe Infektionsrate.

Das Feedback aus dem Smart Protection Network zeigt, dass DOWNAD seit Jahren zu den Top-Bedrohungen zählt. Gemessen an der Anzahl der Infektionen ist es der produktivste Schädling seit 2011. Der Malware ist auch die weite Verbreitung der Algorithmen zur Domänenerzeugung geschuldet. Diese Technik generiert mehrere (Hunderte im Fall von DOWNAD) Domänen pro Tag. Die Domänen dienen der Verbindung zu Command-and-Control-Servern. Die schiere Menge der generierten Domänen erschwert das Blockieren dieser C&C-Server erheblich. Auch haben andere Schadsoftware-Familien die Technik übernommen.

Um sich über Netzwerke hinweg zu verbreiten, nutzte der Schädling eine Zero-Day-Schwachstelle, die später von Microsoft als MS08-67 ausgewiesen wurde. Obwohl es einen Patch für die Sicherheitslücke gibt, sind immer noch viele Nutzer angreifbar, sei es aufgrund einer laxen Patching-Praxis, sei es aufgrund des Einsatzes von Raubkopien von Windows, für die die Sicherheits-Patches nicht installiert werden können. Doch längerfristig wird DOWNAD wohl in den Hintergrund treten, weil der Support für Windows XP im nächsten Jahr endet.

Doch bis es soweit ist, können Nutzer an verschiedenen Anzeichen erkennen, ob ihr System von Conficker/DOWNAD infiziert wurde:

  • Hohes Verkehrsaufkommen am Port 445
  • Vorhandensein zufällig benannter Einträge für netsvcs in HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost
  • Nachfolgende Verbindung zu verschiedenen URLs
  • Vorhandensein einer AUTORUN.INF-Datei auf den Laufwerken
  • Vorhandensein einer Datei namens x im Systemverzeichnis
  • Vorhandensein einer unbekannten terminierten Aufgabe

Weil Conficker/DOWNAD den Zugriff auf bestimmte Antivirus-bezogene Sites sperrt, können infiziert Nutzer als Gegenmaßnahme die Funktion Domain Name System (DNS) Client Service auf ihren Systemen deaktivieren. Damit verhindern sie die Verbreitung des Schädlings und werden ihn auf diese Weise los. Zu diesem Zweck öffnet der Nutzer einen Befehls-Prompt und gibt net stop dnscache ein. Auch ist es zu empfehlen, von hier  die neuesten Pattern herunterzuladen. Des Weiteren gibt es ein Fix-Tool, das speziell auf diese Schadsoftware zugeschnitten ist. Weitere Tipps gibt es hier.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*