Vorsicht vor kriminellen April-Scherzen im Internet

März 31, 2009 Sophos Press Release

Der Computerwurm Conficker hat mittlerweile Millionen Rechner weltweit infiziert. Am 1. April soll der Schädling angeblich damit beginnen, täglich aus bis zu 50.000 Internet-Domains 500 Websites auszuwählen und zu kontaktieren, um dort an weitere, heimlich hinterlegte, Befehle zu gelangen. Der Computersicherheits-Spezialist Sophos sieht darin nicht nur eine neue Gefahr für die Anwender, deren Computer infiziert sind. Die Experten der SophosLabs, der weltweiten Forschungszentren von Sophos, haben bereits erste Websites entdeckt, über die gefälschte Entfernungstools angeboten werden. Am 1. April sind vermehrt Angriffe von Trittbrettfahrern zu erwarten, die die Angst der Anwender vor einer Conficker-Infektion ausnutzen und gefälschte Entfernungstools in Umlauf bringen. So genannte Scareware-Attacken stellen mittlerweile eine ernst zu nehmende Bedrohung im Internet dar: Anwendern wird dabei mitgeteilt, dass ihr Computer mit einem Virus infiziert sei. Sie werden dann aufgefordert, ein Antiviren-Programm zu kaufen, mit dem sie das Problem angeblich lösen können. In Wirklichkeit aber wollen die Hacker so Geld für die gefälschte Software ergaunern oder weiteren Schadcode auf die Computer laden.

Christoph Hardy, Security Consultant bei Sophos, erläutert: 'Angesichts der für 1. April erwarteten neuen Aktivitäten des Conficker-Wurms sind viele Anwender und Unternehmen massiv verunsichert. Cyberkriminelle haben bereits bewiesen, dass sie keine Skrupel haben, die Angst von Computeranwendern vor Vireninfektionen für ihre Zwecke zu missbrauchen. Wir rechnen daher am 1. April mit einem deutlichen Anstieg von Scareware-Attacken und raten Internet-Nutzern dringend dazu, sich vor solch kriminellen April-Scherzen in Acht zu nehmen und auf entsprechende Angebote nicht zu reagieren.'

Conficker startet neue Angriffswelle

Der Computerwurm Conficker infizierte in den vergangenen Monaten Millionen Rechner und Netzwerke von Computeranwendern, Unternehmen und Behörden auf der ganzen Welt. Bereits im März 2009 begann der Wurm, von jedem infizierten PC aus auf bestimmte Webseiten zuzugreifen, um so weitere Anweisungen nachzuladen, die seine Programmierer heimlich auf seriösen Websites platziert hatten. Bislang kontaktierte Conficker hierfür rund 250 Domains pro Tag. Die Domain-Namen werden dabei automatisch aus algorithmisch berechneten Buchstabenfolgen gewählt. Ab 1. April soll sich die Zahl der täglich ermittelten Domains auf bis zu 50.000 erhöhen. Auf 500 davon soll Conficker dann pro Tag zugreifen und prüfen, ob dort neue Instruktionen hinterlegt sind. Zudem könnte Conficker eine Peer-to-Peer-Kommunikation zwischen den infizierten Rechnern starten, um sich auch auf diese Weise zu aktualisieren. Noch ist offen, ob und wann genau der Wurm Schadcodes aus dem Internet herunterlädt und mit welchen Funktionen er danach ausgestattet sein wird.

Um sich vor einer Conficker-Infektion sowie weiteren Cyberattacken zu schützen, sind die Installation der aktuellen Windows-Patches und die automatische Aktualisierung des Antiviren-Schutzes dringend notwendig. Zudem sollten Administratoren von Websites diese stets mit aktualisierten Software-Versionen betreiben und darauf achten, dass der Serverzugriff abgesichert ist.

Sophos Kunden erhalten automatische Updates zum Schutz vor sämtlichen Conficker-Varianten. Unternehmen, deren Rechner mit Conficker infiziert sind, steht ein kostenloses Tool von Sophos zur Entfernung des Schädlings zum Download zur Verfügung

Einen Video-Podcast zum Thema 'Conficker' finden Sie hier.