Die Firma SRI International hat eine komplette Analyse des Conficker Wurms veröffentlicht. Es werden sowohl die Varianten A und B, als auch C genau erklärt.
Ablauf einer Infizierung
Dieses Diagramm zeigt sehr schön die Arbeitsweise des Wurms, je nach Variante gibt es verschiedene Vorgehensweisen. Dies verdeutlicht auch die Aggressivität mit der die Programmierer der Malware hinter ihren „Produkten“ stehen. Der Wettlauf Antivirenhersteller und Virenschreibern wird wohl ewig so weitergehen. Jeder findet immer neue Methoden und Tricks um den Anderen auszutricksen. Vor allem Windows-User sollten daher auf der Hut sein und sich lieber zweimal nach einer Dateiquelle erkundigen als blind irgendetwas zu starten.
Um den Wurm selber zu schützen wird sogar die heruntergeladene Malware validiert, nur wenn einn korrekte digitale Signatur vorliegt wird das Paket angenommen:
Validierung
Aufbau des nachgeladenen Pakets
Mehr dazu beim SRI…