Die neueste Variante des Computerwurms Conficker wird am 1. April seine Programmierer kontaktieren. Was die Cyberkriminellen planen, wissen aber auch die besten Experten nicht.

Den Code haben Sicherheitsspezialisten zwar geknackt und sie wissen, wann ein Großangriff der Conficker-verseuchten Zombi-Rechner droht. Was am 1. April passiert, könne man aber unmöglich vorhersehen, sagt Joe Stewart von SecureWorks im Interview mit Computerworld.

Blockade bröckelt

Die ersten beiden Generationen von Conficker waren für seine Gegner noch leicht berechenbar. Der Wurm konnte zwar Millionen von Rechnern infizieren, aber keinen größeren Schaden anrichten, weil eine Kontaktaufnahme zu seinen finsteren Schöpfern unterbunden werden konnte. Bisher generierte der Schädling nämlich lediglich 250 Webadressen pro Tag, wo eine Kontaktaufnahme zu den Programmierern möglich ist. Da die Conficker-Gegner den Algorithmus geknackt hatten, kam es aber nicht dazu. Doch die Variante Conficker C erzeugt täglich 50.000 Domains, die 110 verschiedene Endungen (.de, .com etc.) haben können. Auch bei Microsoft zweifelt man daher, ob am 1. April die Blockade aufrechterhalten werden kann.

Conficker C versteckt sich

Auch Vincent Weaver von Symantec sagt, dass es unmöglich sei, zu wissen, was die Conficker-Programmierer mit den gekaperten Computern vorhaben. Er könne nur feststellen, dass die neue Variante der Malware sich sehr defensiv verhalte und sich nicht selbstständig fortpflanzen könne wie ihre Vorgänger. "Das macht sie weniger sichtbar und widerstandsfähiger", sagt er.

Wahrscheinlich ist, dass die Conficker-Programmierer die Rechner zu einem riesigen Netz – einem so genannten Botnet - zusammenschließen wollen. So ein Netz wäre eine mächtige Waffe in der Hand von Kriminellen, mit der viel Geld zu verdienen ist. Sie können die Dienste des Botnets zum Beispiel anbieten, um Provider oder große Firmen zu erpressen, da es für sie ein Leichtes wäre, deren Server mit einer Flut von sinnlosen Anfragen lahmzulegen.

Kriminelle Meister

Beängstigend ist, dass die Programmierer in ihrem kriminellen Metier echte Meister sind. Die verwendeten Algorithmen sind die neuesten, die es weltweit gibt. Wie NZZ Online berichtet, wenden die Programmierer beispielsweise eine Verschlüsselungstechnik an, die erst im Januar am Masachusetts Institute of Technology in Boston entwickelt wurde.

Die Urheber des Schadprogramms vermuten einige Experten in der Ukraine, weil Conficker so programmiert ist, dass er von Rechnern mit ukrainischer Tastatur die gierigen Finger lässt. Wahrscheinlich handelt es sich aber nur um eine Finte der Cyberganngster, um ihre Verfolger auf eine falsche Spur zu locken.