Conficker – Wurmvorsorge

Nun muss ich mich doch noch einmal mit W32.Downadup – dem Conficker-Wurm – beschäftigen, denn Heise meldet heute, daß der Wurm jetzt noch  mehr Domains kontaktiert und somit noch mehr Traffic verursacht. Ein weiterer Grund, sein System vielleicht doch nochmal zu überprüfen – und notfalls einen Update zu machen?

Okay – der Reihe nach:

1. Infos zum Conficker direkt von Microsoft – sowie einige Präventionstipps
oder von Sophos – Ausbreitungsarten

2. Download des (einzelnen) Patches gegen Conficker (System und Sprache auswählen!)

und/oder

3. Download eines Sammelupdate-Packs für alle, die nicht über die automatische Update-Funktion von  Windows updaten (so wie ich)

4. System schützen
Conficker verbreitet sich auch per USB-Stick oder über Accounts mit schwachen Kennworten (Netzwerkfreigaben)
Folglich sollte man tunlichst auf sichere Kennworte achten und insbesondere die Benutzung von USB-Sticks im Auge haben.

Dazu gehört ein aktueller Virenscanner und eine aktuelle Desktop-Firewall (siehe Links in der Seitenleiste). Ausserdem die üblichen Vorsichtsmaßnahmen – keine unbekannten Mailanhänge öffnen, Vorsicht bei dubiosen Links ins Internet, niemals auf Links in Spammails klicken usw…

Somit sollte der eigene Rechner sicher sein, sofern es sich um ein aktuelles Windows-System handelt. Die älteren Betrübssysteme, wie Win95/98/ME oder Windows NT haben da schon ein größeres Problem. Für sie gibt es keinen Patch! Hier hilft nur, sie per Firewall absolut dicht zu machen, bei USB-Benutzung extrem vorsichtig zu sein (auf jeden Fall den Autostart deaktivieren!) und zu hoffen, daß der aktuelle Virenscanner mithilft.

Falls es aber doch zu einer Infektion gekommen ist, merkt man das u.a. auch daran, daß man auf keine Seite von Anti-Virus-Produktherstellern mehr kommt. Die neuesten Scannerupdates jetzt herunterziehen zu wollen, gelingt nicht mehr. Was tun?

Zum Einen kann man über ein sicheres System die notwendigen Programme und Updates laden und dann auf seinem eigenen System einspielen, welches man aber bei Bekanntwerden der Infektion sofort vom Netz (LAN oder Internet) abstöpseln sollte – bei WLAN ebenfalls dieses abschalten – notfalls den Router.

Eine andere Möglichkeit ist, den Rechner von einer sicheren Boot-CD zu starten und von da aus auf die Festplatte zuzugreifen und den Wurm zu entfernen. Eine universelle Boot-CD hat Lothar in seinem Blog vorgestellt.  Hierauf sind jede Menge Tools, die (allgemein) sehr nützlich sein können, u.a. auch F-Prot und McAfee als Virenscanner. Die Signaturen sind zwar schon älter, jedoch sind sollen Scripte dabei sein, damit diese aktualisiert werden können.

In Gerhard’s Technet-Blog findet sich eine ordentliche Anleitung zur Entfernung von Conficker.
In meinem letzten Beitrag habe ich auch schon auf ein paar Tools zur Entfernung hingewiesen.
Auch von Microsoft gibt es nützliche Hinweise dazu.

Ein Problem, und das wollen wir nicht übersehen, ist es jedoch, wenn durch die Kontosperrungsrichtlinien der Adminzugang blockiert wird. Conficker versucht ja, sich über eine Kennwortliste Zugang zum System zu verschaffen. Nun kann es dazu kommen, daß das Konto nach einer bestimmten Anzahl an ungültigen Anmeldeversuchen gesperrt wird. Handelt es sich  hier um das Adminkonto, hat man tatsächlich ein Problem. Die Richtlinie sollte also auf jeden Fall so eingestellt werden, daß zwar das Konto zunächst gesperrt wird, aber nach einer sinnvollen Zeit auch wieder freigegeben wird. Oftmals wird das Konto aber auch deaktiviert und das ist schlecht.

In diesem Fall hilft es eigentlich nur noch, den Rechner plattzumachen und neu aufzusetzen. Ich sag ja, das ist schlecht.

Übrigens sollte man sich bei Arbeiten, um Viren zu scannen oder zu entfernen, nicht als ein Netzwerkadmin (oder Domänenadmin) am Rechner anmelden sondern immer als lokaler Administrator. Zum Einen wird es problematisch, sich als Netzwerkadmin anzumelden, wenn man das Netzwerkkabel entfernt hat 🙂 – und zum anderen ist es leichtsinnig, sein Netzwerk-Admin-Kennwort so eventuell dem Wurm zugänglich zu machen oder einem Keylogger bekanntzugeben.

Hier nochmals der Sophos-Link zur Entferung von Conficker.

Das sollte nun alle Fragen beantwortet haben – falls nicht gibt es bei Goolge unter den Suchbegriffen – Conficker Entfernung – massenhaft weitere Beschreibungen.

Update 13.03.09:

Auch auf Heise.de findet man einen Kurzbericht mit Links zu diversen Tools

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s