Seltsam, seltsam: Conficker macht Sommerferien

Im Juli hatte ein verhältnismäßig kleines Botnet mit einer Distributed Denial of Service-Attacke rund eine Woche die IT-Infrastruktur Südkoreas erfolgreich unter Beschuss genommen. Dieses Botnet könnte jedoch im Zusammenhang mit Conficker stehen, die Herkunft ist bislang nicht bekannt.

Schätzungen sehen die Stärke des eigentlichen Conficker-Botnets etwa bei 5 Million PCs und ist damit um das 10- bis 20-fache stärker als das Botnet, das Korea beschäftigte. Es ist also derzeit völlig undurchsichtig, warum die Conficker-Autoren den Sicherheitsunternehmen so viel Zeit geben, Gegenmaßnahmen zu entwickeln, ohne wirklich einen Nutzen aus der aufwändigen Schadsoftware zu ziehen.

Auch die Updates geben kein einheitliches Bild. So laufen zum Beispiel ältere Versionen weiter, während jüngere Updates längst wieder inaktiv sind. Die Entwickler, die möglicherweise aus der Ukraine stammen, scheinen aber technisch auf dem neuesten Stand zu sein. So haben die Autoren wenige Wochen nach der Veröffentlichung den neuen Standard MD6 für ihre kryptografischen Prüfsummen implementiert. Teilweise wurden auf das Botnet auch Spam-Programme aufgespielt, die jedoch ebenfalls nicht genutzt werden.

Und nun scheint Conficker auch noch eine Art Sommerpause einzulegen. Experten wie Hypponen oder auch die Conficker Working Group, zu der sich mehrere Unternehmen zusammengeschlossen haben, nehmen an, dass die Autoren das Botnet sich selbst überlassen haben, um ein weiteres Zombie-Netzwerk aufzubauen, das weniger stark im Rampenlicht steht. Trotzdem breitet sich das Botnet auch ohne das Zutun der Hacker täglich weiter aus.