Zwischenzeitlich war es um den Computerwurm "Conficker", der am 1. April die ganze Welt bangen ließ, ruhig geworden. Nun hat die Anzahl der weltweit befallenen Rechner wieder stark zugenommen und erneut die 5-Millionen-Marke überschritten. Dabei verschont der Schädling allerdings Computer, die sich in der Ukraine befinden. Forscher der Universität Bonn nutzen diesen Umstand, um die Verbreitung des tückischen Wurms zu unterbinden. Dazu kooperieren sie mit der Firma MaxMind, einem Anbieter von Geolokalisierungsdiensten.
Der Computerwurm Conficker kommt in mehreren Versionen vor. Eine der gefährlichsten ist die Variante A. Die Bonner Informatiker Felix Leder und Tillmann Werner hatten bereits zu Beginn des Jahres alle Formen des Wurms im Detail seziert und analysiert. Mit der von ihnen nun entwickelten Strategie lässt sich zumindest die Ausbreitung der A-Variante komplett unterbinden.
Conficker verbreitet sich ohne Zutun des Benutzers durch die Ausnutzung einer Schwachstelle in Windows-Betriebssystemen. Er sucht aktiv im Internet nach Rechnern, die diese Schwachstelle aufweisen, und nistet sich auf ihnen ein. Dabei ist er allerdings etwas wählerisch: "Conficker.A greift keine Rechner an, die sich in der Ukraine befinden", erklärt Tillmann Werner. Warum die dortigen Computer nicht befallen werden, ist den Experten allerdings bisher ein Rätsel: "Wir kennen die Motivation nicht, können den Umstand aber für unsere Zwecke nutzen", sagt Felix Leder.
Conficker ausgetrickst
Um zu erkennen, ob sich ein Computer in der Ukraine befindet, verwendet Conficker die kostenlose Geo-Datenbank der Firma MaxMind. "Diese Datenbank funktioniert wie ein Telefonbuch. Zu jeder Adresse im Internet bekommt man den Standort des Computers genannt", beschreibt Leder. MaxMind hatte bereits zu Beginn der Ausbreitung die Internetadresse der Datenbank verändert. Dadurch war Conficker nicht mehr in der Lage, den Standort der Rechner ausfindig zu machen.
Um den Wurm auszutricksen, haben Felix Leder und Tillmann Werner eine kompatible Datenbank entwickelt, die für jede Adresse die Ukraine als Standort zurückgibt. Durch diesen einfachen Trick getäuscht, greift Conficker.A keine Rechner mehr an, und eine weitere Verbreitung wird unterbunden.
Damit diese Strategie auch Früchte trägt, haben sich die beiden Bonner Forscher an Boris Zentner von der Firma MaxMind gewandt. Binnen 24 Stunden konnten sie die Idee mit seiner Hilfe in die Tat umsetzen. "Aktuell beobachten wir Millionen von Zugriffen pro Tag", berichtet Tillmann Werner. "Wie stark die Anzahl an Infektionen zurückgehen wird, müssen wir abwarten. Auf jeden Fall haben wir einen kleinen Teil dazu beigetragen, die Ausbreitung zu unterbinden."
Nun ist es wichtig, bereits infizierte Systeme zu bereinigen, damit die Infektion nicht wieder aufflackern kann. Dazu haben die Bonner Informatiker unter der Adresse http://four.cs.uni-bonn.de/conficker einige Hilfsprogramme zusammengestellt. Weitere Informationen stellt die Conficker Working Group (http://www.confickerworkinggroup.org) zur Verfügung.
Kontakt:
Felix Leder
Institut für Informatik IV, Universität Bonn
Telefon: 0228/73- 4117
E-mail: leder@cs.uni-bonn.de
Tillmann Werner
Institut für Informatik IV, Universität Bonn
Telefon: 0228/73-4587
E-mail: werner@cs.uni-bonn.de
Criteria of this press release:
Information technology
transregional, national
Research results
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).