Suchen

Domain-Blocking im Kampf gegen Conficker OpenDNS will Microsoft RPC-Wurm die Basis für Angriffe nehmen

| Redakteur: Stephan Augsten

Mit einem neuen Service nimmt OpenDNS den Kampf gegen den als Conficker und Downadup bekannten Netzwerkwurm auf. Um den Schadcode unschädlich zu machen, soll der Dienst die dynamisch generierten Command-and-Control-Domains des Wurms voraussehen und letztlich blocken.

Firma zum Thema

Zum Schutz vor dem Conficker-Wurm blockt OpenDNS dessen Command-and-Control-Domains.
Zum Schutz vor dem Conficker-Wurm blockt OpenDNS dessen Command-and-Control-Domains.
( Archiv: Vogel Business Media )

Analog zu einem Filesharing-Dienst öffnet der Netzwerkwurm Conficker auf befallenen Systemen einen Port und zieht eine Kopie von sich aus dem Internet. Anschließend fragt der Wurm die IP-Adresse des Opfers sowie die aktuelle Zeit ab und generiert eine Liste von Domains, die er später kontaktieren soll um Schadcode nachzuladen.

Forscher des Antivirus-Spezialisten Kaspersky haben den entsprechenden Domain-Algorithmus des Wurms analysiert. Auf dieser Grundlage will OpenDNS nun einen Dienst bereitstellen, der die Domains vorhersagt, über die der Wurm Schadcodes nachlädt. Sämtliche dieser Command-and-Control-Domains werden von OpenDNS anschließend geblockt.

David Ulevitsch, Gründer und Chief Technology Officer von OpenDNS, ist zuversichtlich, den Wurm auf diese Weise in die Knie zwingen zu können: „Infizierte Maschinen wären nicht mehr in der Lage mit der Urheber-Domain zu kommunizieren. Und damit wäre wiederum der Wurm nutzlos.“

Konkrete Bedrohung trotz unbekannter Verbreitung

Der auch unter dem Namen Downadup bekannte RPC-Wurm (Remote Procedure Call) hat schon etliche Netzwerke und Endgeräte infiziert. Über die genaue Anzahl streiten sich die Security-Experten und -Hersteller jedoch: Während die einen von bis zu 10 Millionen kompromittierten Rechnern ausgehen unterstellen die anderen Panikmache und sprechen von mehreren Tausend infizierten Maschinen.

Ebenso unsicher ist noch, wie viel Schaden Conficker tatsächlich anrichten wird. Dieser hält sich nämlich noch in Grenzen, da der Malware-Autor die eigentliche Schadroutine des Wurms noch nicht aktiviert bzw. ausgeliefert hat.

Einig sind sich die Sicherheitsexperten zumindest darin, dass der Entwickler des Wurms finanzielle Interessen hegt. Laut Thomas Cross, Security-Forscher im X-Force Security-Team von IBM, kann der Wurm dazu dienen sensible Informationen zu stehlen oder eine Denial-of-Service-Attacke gegen eine bestimmte Website zu fahren.

Laut Ulevitch ist OpenDNS dazu in der Lage, IT-Administratoren zu benachrichtigen sobald der Wurm von den eigenen Systemen aus Kontakt zu einer der geblockten Domains aufnimmt. Gleichzeitig sollen Sicherheitsforscher mithilfe des Dienstes genaue Informationen über infizierte Systeme und die Verbreitung des Wurms erhalten. Weitere Features für Unternehmenskunden sind von OpenDNS für dieses Jahr geplant.

(ID:2019290)