Kein Aprilscherz: Heute soll laut Experten der berühmt-berüchtigte Computervirus Conficker zuschlagen. Bisher blieb der große Knall aus, aber das will nichts heißen.

Einige Sensationsmacher hatten geschrieben, dass am 1. April möglicherweise sogar das komplette Internet zusammenbrechen könnte, wenn der Wurm-Wächter sein gigantisches Botnetz von der Leine lässt. Genau um 0 Uhr Weltzeit (2 Uhr MEZ) sollte dies geschehen. Doch so blöd sind die Conficker-Programmierer sicher nicht. "Die Kerle haben kein Interesse daran, die komplette Infrastruktur kollabieren zu lassen", sagt Trend-Micro-Spezialist Paul Ferguson im Computerworld-Interview. "Denn das würde sie schließlich von ihren Opfern abschneiden."

Prozess gestartet

Aber Ferguson will oder genauer kann keine Entwarnung geben, denn wie alle seine Kollegen weltweit hat er letztendlich keine Ahnung, was der oder die Schöpfer von Conficker ausgeheckt haben. Die aktuelle Variante, Conficker.C, ist so programmiert, dass der Wurm 50.000 Domain-Namen generiert und die infizierten Rechner 500 davon zur Kontaktaufnahme auswählen. Dieser Prozess sei gestartet, sagen die Sicherheitsleute, irgendein Schaden bisher aber nicht feststellbar.

Keiner der Server, die die Conficker-Armee zu erreichen versucht, gebe neue Kommandos oder füttere das Botnetz mit neuer Schadsoftware, sagt McAfee-Sicherheitsstratege Toralv Dirro. Er vermutet, dass die Wurm-Wächter abwarten und Tee trinken. "Es wäre ziemlich dumm von ihnen, gleich die erste Möglichkeit zu nutzen, so lange alle aufgeregt darauf warten", sagt er. "Wenn etwas passiert, wird es vermutlich in ein paar Tagen passieren."

Auch Conficker macht Fehler

Die Zeit kann genutzt werden, um Conficker auszubremsen. Laut ZDNet haben Administratoren leichtes Spiel, weil Forscher des gemeinnützigen Honeypot-Projekts einen Fehler des Schädlings entdeckt haben. Die Schwachstelle befindet sich in dem Update, dass der Wurm installiert, um die Windowslücke zu schließen, die er zum Eindringen genutzt hat. Er will damit verhindern, dass andere Schädlinge das Gleiche tun.

Doch dieses Update, das im Prinzip das Gleiche wie das Microsoft-Update tut, verrät den ungebetenen Gast. "Es verändert das Verhalten von Windows in einem Netzwerk", schreibt IOActive-Spezialist Dan Kaminsky. Die Funktion "NetpwPatchCanonicalize" arbeite auf infizierten Rechnern anders als auf "sauberen" Computern. Mehrere Sicherheitsanbieter haben einen Scanner entwickelt, mit dem alle infizierten Rechner in einem Netzwerk identifiziert werden können. Mit nMap ist dies sogar kostenlos möglich.

Unsichere USB-Sticks

Auch Otto-Normal-User kann den Fiesling auf seinem Computer ganz einfach aufspüren: Wenn Webadressen wie Microsoft.com, McAfee.com, Kaspersky.com oder die Adressen anderer Hersteller von Antivirus-Software nicht erreichbar sind, ist dies ein deutliches Indiz für eine Infektion. Hilfe gibt's gratis von Microsoft. Ist die Seite wegen Conficker nicht zu öffnen, müssen Betroffene den Umweg über einen anderen Rechner nehmen und sich so das Tool zum Entfernen bösartiger Software (MSRT) besorgen. Achtung: Benutzen Sie nicht Ihren eigenen USB-Stick zum Transport, denn Conficker verbreitet sich u.a. über die kleinen Datenspeicher!