Conficker verrät sich im Netzwerk

Beim Honeypot Project hat man Conficker eingehend unter die Lupe genommen und die Erkenntnisse in einem PDF mit dem Titel »Know Your Enemy: Containing Conficker« zusammengefasst. Darin erklärt man auch, dass der Wurm das Windows-Leck, über das er eingefallen ist, in einer speziellen Weise abdichtet – anders, als das etwa der reguläre Microsoft-Patch tun würde. Der Wurm bezieht über das Leck weitere Updates, versucht aber andere Schädlinge fernzuhalten. Doch auf bestimmte RPC-Messages reagiert er mit einer Fehlermeldung und verrät sich so. Mit einem Security Scanner lässt sich Conficker daher im Netzwerk aufspüren – Tillmann Werner und Felix Leder von Honeypot Project haben einen Scanner zum Download bereitgestellt. Auch die bekannten Security Scanner Nessus und Nmap können den Schädling mittlerweile entdecken. (Daniel Dubsky)