Vor gut einem Jahr, am 21. November 2008, tauchte der Computerwurm Conficker zum ersten Mal auf. Er breitete sich rasant aus, veränderte dabei mehrfach sein Erscheinungsbild und versuchte durch das Blockieren von Antivirenprogrammen aktiv zu verhindern, dass man den Wurm entfernt.
Conficker war ein Schadprogramm mit einer neuen Qualität, so dass sich die Hersteller von Antivirensoftware, Wissenschaftler und Experten von staatlichen Sicherheitsbehörden in der Conficker Working Group zusammenschlossen, um den Schädling zu bekämpfen. Microsoft setzte sogar ein Kopfgeld von 250.000 Dollar für denjenigen aus, der die Urheber ausfindig macht, denn das System verbreitet sich über Schwachstelen in Windows-Betriebssystemen.
"Der Wurm wartet weiter auf Befehle“
Das Geld musste Microsoft-Chef Steve Ballmer bislang nicht auszahlen. Spuren führten in die Ukraine, wo eine der ersten Infektionen entdeckt wurde, außerdem stoppte die Attacke einer ersten Conficker-Versionen auf Rechnern mit ukrainischer Spracheinstellung.
Ansonsten tappen die Experten weiter im Dunkeln. Zumindest gelang es aber, die Ausbreitung einzudämmen. Doch es gibt immer noch drei bis vier Millionen infizierter Rechner weltweit, schätzten die Sicherheitsexperten von Symantec. „Derzeit ist es allerdings ruhig, der Wurm wartet weiter auf Befehle“, sagt Wüst.
Das ist das eigentliche Mysterium am Phänomen Conficker. Er gewährt seinen Urhebern quasi vollen Zugriff auf die infizierten Rechner, die sie als Spamschleudern nutzen oder versuchen könnten, Passwörter oder Kontodaten auszuspionieren. Doch nichts dergleichen passiert.
Kurzzeitig schien es, als ob der Wurm am 1. April seine wahre Intention zeigen würde. Experten hatten herausgefunden, dass eine Variation an diesem Tag versuchen würde, neue Befehle aus dem Netz zu laden. Doch es war ein falscher Alarm.
Dann wurde versucht, den Benutzern infizierter Computer eine gefälschte Sicherheitssoftware zu verkaufen. Die Experten rätseln noch, ob es tatsächlich der Plan war, auf diese Weise Geld zu verdienen, oder ein Ablenkungsmanöver.
Conficker-Angriff noch in diesem Jahr möglich
Eine andere Variante wäre, dass ein Geheimdienst dahinter steckt. Immerhin 20 Prozent aller Internetangriffe haben bereits einen politischen oder religiösen Hintergrund, sagt der Chef des Sicherheitsspezialisten McAfee Dave de Walt. Tendenz steigend.
So sahen sich Estland und Georgien bereits massiven Cyberattacken ausgesetzt, bei denen wichtige Regierungswebsiten und Rechner teilweise tagelang nicht erreichbar waren. Auch bei den Protesten im Iran spielte das Internet eine große Rolle und die Regime in China und Nord Korea rüsten im Internet auf. Die von Conficker infizierten Rechner könnten auch genutzt werden, um so genannte Denial-of-Service-Attacken durchzuführen: massenhafte Aufrufe von Internetseiten, die dann wegen der Last der Anfragen nicht mehr erreichbar sind.
Wozu Conficker auch programmiert wurde, Entwarnung können die Experten nicht geben. „Es ist sehr komisch, dass so viele infizierte Systeme brach liegen“, sagt Symantec-Sicherheitsspezialist Candid Wüest. „Das entwickelt niemand zum Spaß, sondern um Geld zu verdienen.“ Daher rechne er weiterhin damit, dass es zu einem größeren Angriff kommt.
„Wenn es noch eine große Attacke geben sollte, dann müsste sie kommen, bevor Windows7 massiv verbreitet ist“, sagt de Walt. Denn das neue Betriebssystem schließe einige der geschlossenen Lücken. Bis Windows7 massiv verbreitet ist, dauere es jedoch noch eine Weile.
„Es könnte gut sein, dass es noch in diesem Jahr zu einem Angriff kommt“, sagt Candid Wüest. „Weihnachten ist immer eine beliebte Zeit, wenn auch einige der Sicherheitsbeauftragten im Urlaub sind.“
