Sicherheitsexperten haben nach mehreren Monaten ein Durchbruch im Kampf gegen den Conficker Virus geschafft. Sie haben herausgefunden das die Malware eine sogenannten Fingerabdruck auf infizierten Computern hinterläßt der sehr einfach mit Hilfe von Standardscannern entdeckt werden kann.

Das bedeutet nun, dass Systemadministratoren zum ersten Mal die Möglichkeit ihre Netzwerke auf befallene Rechner zu untersuchen. Heute sollen die ersten Signaturen für mehrere Netzwerkscanner herauskommen, darunter das bekannte Nmap, McAfee’s Foundstone Enterprise und Nessus.

Bis heute gab es nur 2 kompliziertere Methoden um Conficker zu entdecken. Zum einen konnten alle ausgehenden Verbindungen jedes Computers in einem Netzwerk kontrolliert werden. Dies stellt sich in der Praxis aber als recht aufwändig dar, vor allem in großen Unternehmen mit Zehntausenden von Computern. Außerdem hatten die C-Variante von Conficker veranlaßt das sich die Malware bis zum 1. April ruhig verhält. Die zweite Methode war das Scannen eines jeden Rechners im Netzwerk, was einen großen logistischen aufwand darstellt.

Die nun erfolgte Entdeckung einer individuellen Signatur stellt nun 2 Tage vor der mit Spannung erwarteten Aktivierung von Conficker am 1. April einen wichtigen Schritt im Wettlauf mit der Zeit dar.

Dan Kaminsky, einer der Entdecker, sagte dazu:

“Dies ist ein umgemein kostenarmer, nicht zeitintensiver Weg um die Rechner im Netzwerk zu finden, auf denen wirklich die maliziöse Software läuft. Das ist etwas was wir nicht ständig machen. Die meiste Malware ist nicht so einfach zu finden.”

Freitag nachmittag hatte das Team um Kaminsky sowie Tillmann Werner und Felix Leder vom Honeynet Projekt herausgefunden, das Conficker einen bestimmte winzige Verhaltensweise im Windows Betriebssystem beeinflußt. Nach dieser Entdeckung machten sich das Team mit Hilfe vom Sicherheitsexperten Rich Mogull von Neurosis daran einen Fingerprint zu erstellen und die Hersteller diverse Scanner zu informieren.