Dank derselben Lücke, über die sich der Wurm verbreitet, konnten die Informatiker ihn auch auf entfernten Rechnern aufspüren. Die Methode eignet sich besonders für Firmen-Netze.
Informatiker der Universität Bonn haben den Conficker-Wurm näher untersucht und dabei etwas Neues entdeckt: Da der Schädling wie Windows auf bestimmte Systemaufrufe reagiert, lässt er sich auf diese Weise über das Netzwerk aufspüren. Dabei nutzten die Forscher dieselbe Lücke, über die sich auch Conficker verbreitet. Das käme besonders Unternehmen und anderen größeren Organisationen zugute, die ihre gesamte EDV überprüfen wollen.
Erkennung über offenen Port
Über die Windows-Funktion NetpwPathCanonicalize() kann ein Scanner über das Netzwerk feststellen, ob ein Computer mit Conficker infiziert ist. Der Wurm fängt alle Aufrufe dieser Funktion ab, umgeht Windows und verarbeitet sie selbst. Allerdings muss für so einen Test der TCP-Port 445 des Windows-PCs offen sein. Normalerweise sollte der aber aus Sicherheitsgründen geschlossen werden.
Neue Scanner in Arbeit
Die deutschen Informatiker haben ihre Arbeit in Zusammenarbeit mit der Conficker Working Group geleistet und auch an diverse Sicherheitsexperten weitergeleitet. Es ist zu erwarten, dass demnächst Aktualisierungen für gängige Virenscanner erscheinen, die über die neue Testfunktion verfügen. Bisher war es über das Netzwerk nur sehr schwierig möglich, den Wurm aufzuspüren.
Unsichere Entwicklung
Für alle potentiell Betroffenen wird es dringend nötig, ihre Rechner vom Conficker-Wurm zu befreien. Wie kürzlich bekannt wurde, lädt der Schädling am 1. April neue Updates nach. Allerdings ist noch nicht bekannt, welche Auswirkungen sie haben werden.
(Red.)