Conficker gehts an den Kragen

Wie heute auf Heise.de zu lesen ist, haben Felix Leder und Tillmann Werner von der Universität Bonn heute die Ergebnisse ihrer Analyse des Conficker-Wurms vorgestellt  (PDF bei Honeynet Project). Daraus ergeben sich Möglichkeiten, den Conficker-Wurm nicht nur zu scannen sondern auch übers Netz anzugreifen und unschädlich zu machen.

Ob dies allerdings auch ausgeführt wird, ist fraglich. Immerhin hat man vor einigen Jahren beim Storm-Worm darauf verzichtet. Auch damals gab es die Möglichkeit, den Wurm übers Netz zu eliminieren. Wie Heise ausführt, war damals die Situation allerdings eine andere, womit sie natürlich auch vollkommen recht haben. Damals war der Sturm am Abklingen – bei Conficker sieht das heute anders aus. Obwohl ich generell gegen Eingriffe von aussen in bestehende Rechnersysteme bin, halte ich es in diesem Fall für durchaus legitim, eine Anti-Conficker-Kampagne übers Netz zu initiieren. Offensichtlich ist es ja nicht so ohne weiteres möglich, den Benutzern der infizierten Rechner klarzumachen, wie sie einerseits bestehende Infektionen bekämpfen und andererseits anfällige Systeme sichern können. Hier fehlt m. E. nicht nur das Wissen sondern auch das Verständnis.

Jedoch sollte unabhängig davon auch jedem Interessenten – vor allem natürlich uns professionellen Admins – die Möglichkeit gegeben werden, die notwendigen Tools selbst an die Hand zu bekommen und damit im eigenen Netzwerk auf Conficker-Jagd gehen zu können und auch bei den privaten Rechnern von Freunden  und Bekannten mit den entsprechenden Tools Säuberungen vornehmen zu können. Schliesslich sind diese auch nicht ständig am Netz. Aber in dem Fall gehe ich ohnehin davon aus, daß das so ist – nach Überfliegen der Analyseseiten findet sich schon das ein oder andere Tool, bzw. die ein oder andere Möglichkeit.
Schön wäre es natürlich, wenn das alles in die üblichen Antivirenscanner-Produkte einfliessen würde, und Conficker somit automatisch getilt würde. Mal sehen was da  noch kommt.

Wenn sich die Virenjäger  mit den Virenautoren auf eine Stufe stellen und das Internet „hinterrücks“ benutzen, könnte es zu heute ungeahnten Auswirkungen kommen. Allein schon die Tatsache, daß ein offenbar weltumfassendes Spionagenetzwerk über lange Zeit unerkannt bleibt, läßt erneut die Gedanken an den Bundestrojaner und die totale Überwachung aufkommen. Wer soll da noch zwischen guten und bösen Scannern unterscheiden können? Daher bleibe ich bei meiner Einstellung: mein Rechner gehört mir – da hat keiner ausser mir dran rumzufingern – wer es dennoch versucht (oder tut *argh*) gehört zu den Bösen!

Link zur Conficker-Working-Group

Update:

Inzwischen gibt es eine neue Meldung bei Heise.de, daß „Trittbrettfahrer“ offensichtlich versuchen, nutzlose Conficker Entfernungstools kostenpflichtig an den Mann/die Frau zu bringen. Das eigentlich interessante an der Meldung sind aber die Links zu den echten Entfernungs- und Erkennungstools, die jetzt, nach der Veröffentlichung der Analyse von Leder und Werner, von immer mehr AV-Herstellern angeboten werden. In den meisten Fällen kostenfrei übrigens.

Update 28.08.09

Nachdem das immer noch ein heißes Thema ist, hier ein paar Links die von meinem  zentralen CERT veröffentlicht wurden (ich bin ja „nur“ Ressort-CERT):

Conficker-Seite der Universität Bonn:

Conficker-Seite bei Heise:

MS: Patch zum Deaktivieren von Autorun

MS: Gruppenrichtlinien zur Vermeidung von Conficker

MS08-067:

Sophos:

Avira:

Geratene Passwörter:

Und noch ein Update – 03.09.09

Bin heute über eine Anleitung bei Administrator.de gestolpert. Dort wird die Bekämpfung in einem 450Client-Netz beschrieben. Ist ganz interessant und kann sicher auch dem ein oder anderen noch helfen, wenn es denn schon passiert ist.

http://www.administrator.de/……………

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s