Panikmache-Schlagzeilen haben Conficker-Bedrohung überzeichnet (Foto: Sophos/Graham Cluley)

Wien (pte008/02.04.2009/09:45) - Gestern, Mittwoch, hat die Internet-Welt den Atem angehalten und auf einen Großangriff durch "Conficker" gewartet, der vorab als Schreckgespenst durch viele Medien gegeistert ist. Doch passiert ist außer einem Update des Wurms auf bereits infizierten Rechnern nichts. Während die Masse durchatmet, dürften IT-Sicherheitsexperten müde lächeln. Denn für Sie war klar, dass es nicht zu einem Internet-Supergau kommen würde. Im Gegenteil, im Vorfeld des kritischen Tages hatten diverse Experten vor medialer Panikmache gewarnt. Eine Gefahr bleibt Conficker dennoch. "Es handelt sich um ein sehr großes Botnetz, mit dem die Hintermänner eine Menge anstellen könnten", betont Martin Penzes, technischer Direktor des ESET-Vertriebspartners Sicontact http://www.sicontact.at , gegenüber pressetext.

Bisweilen monieren Antiviren-Anbieter eine mangelnde mediale Beachtung der Virenproblematik, doch vor dem ersten April hat sich dies geradezu ins Gegenteil gewandelt. Experten von IT-Sicherheitsunternehmen waren in den jeweiligen Blogs bemüht, der Panikmache den Wind aus den Segeln zu nehmen. Bei SecureWorks http://www.secureworks.com etwa war die Rede von einem "Conficker-Aprilscherz-Hype". "Am ersten April wird Ihr Computer nicht wegen Conficker einschmelzen", schrieb Randy Abrams, ESET Director of Technical Education. Noch am Tag des Nicht-Ereignisses selbst hat Sophos-Experte Graham Cluley kritisiert, dass die IT-Security-Anbieter praktisch das Feuer apokalyptischer Schlagzeilen löschen mussten. Immerhin war vielfach von einer Zeitbombe die Rede, von einer viralen Kernschmelze oder drohendem Internet-Chaos.

Passiert ist letztendlich nicht viel - womit sich die Experten-Erwartungen erfüllt haben. "Es wurde erwartet, dass Conficker seine Kommunikationsform verändert", erklärt Penzes. Das hat der Wurm getan und kann nun Kommandos über eine deutlich größere Zahl an Webadressen beziehen als zuvor. Damit dürfte er auch ein stabileres Botnetz bilden, mit massivem Umfang. "Man kann definitiv von mehreren Mio. PCs sprechen, doch wie viele es genau sind, ist schwer abzuschätzen", meint Penzes. Verschiedene Seiten haben Infektionszahlen bis etwa 15 Mio. PCs postuliert. Massenweise Neuinfektionen oder andere spektakuläre Aktivitäten von Conficker sind aber ausgeblieben. "Die Hintermänner haben sicher den medialen Hype mitverfolgt und hatten keinen Grund, echte Aktionen zu starten", sagt Penzes. Denn Cyberkriminelle würden eher den Überraschungsmoment schätzen, der gestern sicher nicht gegeben war. Mit dem Riesen-Botnetz könnten die Conficker-Programmierer allerdings jederzeit massiv Spam verschicken oder DDoS-Angriffe starten.

Vor etwas mehr als vier Monaten hat die erste Version von Conficker sich bemerkbar gemacht (http://pressetext.de/news/081127031/). Seither haben mittlerweile vier Varianten immer wieder mit prominenten Opfern für Aufsehen gesorgt. So war im Februar die deutsche Bundeswehr betroffen und jüngst hat Conficker das britische Unterhaus erreicht. "Conficker ist nach mehreren Jahren wieder eine wirklich großflächige Infektion, die sich schnell ausbreitet", warnt Penzes. Obwohl gestern nichts passiert ist, sollten sich Nutzer also durch AV-Updates schützen und bei Bedarf auch mit Online-Scannern seriöser Anbieter nach Infektionen suchen. Wie viele AV-Unternehmen bietet ESET inzwischen auch Tools zum Entfernen des Wurms an. Besonders wichtig ist aber auch die Aktualisierung des Betriebssystems - immerhin stellt Microsoft seit Oktober 2008 einen Patch für die von Conficker ausgenutzte Lücke bereit.

(Ende)