»Conficker«-Wurm: Erkennen und vernichten

von Lars Bube (lars.bube@crn.de), Bernd Reder

Share
18.02.2009

Fast ein halbes Jahr geistert der Schädling Conficker schon durch das Internet und hat dabei schon bis zu zehn Millionen Rechner in Unternehmen und Organisationen befallen. Selbst einige Militärs haben sich den Cyberschädling eingefangen. Wir erklären wie man den Wurm findet, erkennt und unschädlich macht.

Wer den fiesen Wurm erstmal auf dem System hat, muss einiges auffahren, um, ihn auch wieder loszuwerden

Seit September letzten Jahres zieht der Conficker-Wurm inzwischen schon seine Kreise im Internet. Er macht sich dabei eine Schwachstelle im RPC-Dienst (Remote Procedure Call) von ungepatchten Windows-Systemen zu Nutze, um diese zu infizieren, sie in ein Botnetz einzugleidern, und sich darüber weiter zu verbreiten. Doch nicht nur über das Internet, auch in lokalen Netzen mit Freigaben, die durch zu schwache Passwörtern geschützt sind, breitet er sich aus und nutzt außerdem den Autostart-Mechanismus von USB-Wechseldatenträgern, wie Festplatten, Speicher-Sticks oder Digicams zur Weiterverbreitung. Diese Kombination macht ihn zum gefährlichsten Wurm der vergangenen zwölf Monate.Dabei könnte der Schädlich eigentlich schon längst ausgemerzt sein, wenn nur der von Microsoft bereits im Oktober veröffentlichte Patch für die Windows-Lücke auch überall installiert worden wäre. Da dies jedoch nicht geschah, gehen Experten der Sicherheitsfirmen von mehreren Millionen infizierten Rechnern aus.

»Die Schätzungen reichen von einigen 100.000 Systemen bis zu mehr als 10 Millionen«, bestätigt Ralf Benzmüller, Leiter der Security-Labs von G-Data [1]. Eine genaue Messung der Infizierungsrate ist unter anderem deshalb so schwierig, weil sich viele infizierte Systeme mit mehreren Control-Servern verbinden, sodass sie mehrfach gezählt werden. Andererseits können genauso gut Hunderte befallene Rechner in Unternehmensnetzen nach außen hin nur wie ein einzelner infizierter Rechner erscheinen. Aber selbst bei konservativer Schätzung handelt es sich laut Benzmüller um eines der leistungsfähigsten Bot-Netze, das jemals aufgebaut wurde. Und dabei nutzen die Hintermänner, auf die Microsoft eine Belohnung von einer Viertel Million Dollar ausgesetzt hat, das Netz bisher noch gar nicht.

Den Wurm verstehen und die IT schützen

Microsofts Malware Protection Center hat eine Anleitung zusammengestellt, mit der sich Conficker von Hand von infizierten Rechnern entfernen lässt.

Das Beispiel Conficker zeigt, wie wichtig ein funktionierendes Patch-Management ist. Offenkundig haben es einfach viele Netzwerkadministratoren versäumt, den Patch aus dem Microsoft-Security-Bulletin [2] vom Oktober zeitnah einzuspielen. Ein weitere Faktor, der die Verbreitung von Conficker fördert, sind zu schwache Passwörter für Netzwerkfreigaben und Benutzerkonten. Ein simples Passwort wie »12345« oder »admin« bietet so gut wie keine Sicherheit, was die Schöpfer von Conficker ausnutzen.

Darüberhinaus gibt es in vielen Unternehmen keine festen Richtlinien bezüglich des Einsatzes von Wechseldatenträgern wie USB-Sticks. Diese sind aber einer der Hauptverbreitungswege für Conficker. Der Autostart-Mechanismus ist auf den meisten Rechnern aktiviert und wird nicht nur von Conficker, sondern auch von vielen anderen Schädlingen zur Verbreitung genutzt. Ein Nachteil, wenn die Autostart-Funktion deaktiviert wird: CDs oder DVDs starten in diesem Fall nicht mehr automatisch, sobald sie ins Laufwerk eingelegt werden. Das ist aber zu verschmerzen im Vergleich zum Ärger, den Conficker mit sich bringt.

Einen interessanten Dienst bietet laut Benzmüller die IT-Sicherheitsfirma Open DNS [3]. Der Service erkennt mit Conficker infizierte PCs im Netzwerk und blockiert den Zugang zu den 250 täglich neu generierten Bot-Net-Domains. So bleibt der Zombie-PC zwar infiziert, aber ohne Befehle von seinem »Meister« inaktiv.

Infektionen erkennen

Doch manchmal ist es auch schon zu spät, um sich noch mit dem Patch zu schützen. Ob sich der Virus jedoch bereits auf einem System eingeschlichen hat, erkennt man am einfachsten mit entsprechender Security-Software. Ein Virenschutz mit aktuellen Signaturen, wie beispielsweise G-Data Antivirus 2009 oder Business, erkennt Conficker und verhindert eine Infektion. Wer jedoch seine Hausaufgaben nicht gemacht hat, und gleichzeitig keinen aktuellen Virenschutz einsetzt und systeminterne Hintertüren offen lässt, indem kritische Patches nicht eingespielt werden, wird einige Mühe aufbringen müssen, der Infektion Herr zu werden. Denn Conficker verwendet zufällige Zeichenfolgen als Dateinamen. Dadurch ist es schwierig, die Dateien zu finden. Er registriert sich als Systemdienst mit zufälligem Namen. Die Registry wird beispielsweise folgendermaßen modifiziert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [Zufälliger Name für den Dienst]
Image Path = „%System Root%\system32\svchost.exe -k netsvcs“
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Zufälliger Name für den Dienst]\Parameters
ServiceDll = „[Pfad und Dateiname der Malwaredatei]“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

Dass ein Rechner infiziert ist, erkennt der User daran, dass bestimmte sicherheitsrelevante Dienste nicht mehr funktionieren. Dazu gehören das Windows Security Center, Windows Auto Update, Windows Defender und der Error-Reporting-Service. Außerdem blockiert Conficker den Zugang zu den Web-Seiten aller führenden Anbieter von Antiviren-Software sowie zu Malware-Informationsportalen. Der Schädling verhindert unter anderem den Zugang zu URLs, die Begriffe, wie »virus«, »spyware«, »microsoft«, »gdata« oder »symantec« enthalten. Netzwerkadministratoren erkennen infizierte Rechner außerdem an einer Zunahme des Datenverkehrs, der über Port 445 läuft. Nach der Infektion ermittelt Conficker die IP-Adresse des infizierten Rechners, indem er eine der folgenden Seiten aufruft:
http://checkip.dyndns.org
http://getmyip.co.uk
http://www.getmyip.org

Anhand des Datums von folgenden Domains werden die variablen Update-Adressen berechnet: ask.com, baidu.com, google.com, msn.com, www.w3.org und yahoo.com. Rechner, die auf diese Domains zugreifen, könnten somit von dem Schädling befallen sein.

Wie sich Conficker wieder entfernen lässt

Ralf Benzmüller, Leiter der Security-Labs von G-Data

Da der Schädling komplex aufgebaut ist und an vielen Stellen gleichzeitig das befallene System angreift, kann eine Bereinigung von Hand mühsam und zeitraubend sein. G-Data empfiehlt daher, die Entfernungsroutinen der installierten Antiviren-Software zu verwenden. Alternativ dazu können Anwender die aktuelle Version von Microsofts »Malicious Software Removal Tool [4]« (MSRT, Tool zum Entfernen Bösartiger Software) einsetzen. Einen umfassenden Leitfaden zur manuellen Desinfektion verseuchter Systeme hat Microsoft zusammengestellt. Hier der Link zur entsprechenden Web-Seite [5].

Das MSRT wird auf Windows-Systeme automatisch heruntergeladen, wenn der Nutzer die Auto-Update-Funktion aktiviert hat. Die Software kann jedoch auch manuell installiert werden. Die aktuelle Ausgabe vom 12. Februar (KB890830) stellt Microsoft in seinem Software-Download-Bereich zur Verfügung. Hier der Link zum Microsoft-Windows-Tool zum Entfernen bösartiger Software. Da MSRT seine Arbeit im Hintergrund verrichtet, ist es für Nutzer nicht unmittelbar erkennbar, ob das Tool aktiviert wurde. Überprüfen lässt sich das, indem der User in der Registry nach dem entsprechenden Eintrag sucht. Dazu im Windows-Startmenü unter »Ausführen« (deutsche Windows-Version) beziehungsweise »Run« (englisches Betriebssystem) »regedit.exe« eingeben und damit den Registrierungseditor starten. In der Registry müsste sich dann folgender Eintrag finden: HKEY_Local_Machine\Software\Microsoft\RemovalTools\MRT

[1] http://www.gdata.de/
[2] http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067.mspx2
[3] http://www.opendns.com/
[4] http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=de
[5] http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Verwandte Artikel