Internet-Sicherheit: Wurm »Conficker«:
Praxistipp: Wie man den Internet-Wurm »Conficker« erkennt und wieder los wird

von Bernd Reder (bernd.reder@networkcomputing.de), Ralf Benzmüller (G-Data)

Share
18.02.2009

Der Internet-Wurm »Conficker« hat sich zu einer massiven Bedrohung für nicht gepatchte Windows-Rechner entwickelt. Ralf Benzmüller, Leiter der Security-Labs von G-Data, zeigt, wie man den Schädling erkennt und sich davor schützt.

Wie viele Rechner »Conficker« mittlerweile befallen hat, lässt sich nach Angaben von Ralf Benzmüller, Leiter der Sicherheitslabors der deutschen IT-Sicherheitsfirma G-Data [1], nur schwer einschätzen. »Die Schätzungen reichen von einigen 100.000 Systemen bis zu mehr als 10 Millionen«, sagt der Fachmann.

Wie viele Windows-Rechner

Ralf Benzmüller, Leiter der Security-Labsvon G-Data:

So wurden 3000 Rechner der Kärntner Landesregierung und Systeme in zahlreichen Krankenhäusern in Österreich und England befallen. Der Schädling legte zudem Rechner der französischen Luftwaffe und der Bundeswehr lahm.

Was Conficker im Detail anstellt

Nach erfolgreicher Infektion werden weitere Schaddateien von verschiedenen Domains heruntergeladen, die Scareware auf dem Rechner installieren. Um den Kontakt zu den Botnetz-Servern nicht zu verlieren, generiert Conficker anhand des Datums täglich etwa 250 neue Domain-Namen.

Die derzeitige Infektionswelle deutet darauf hin, dass die Urheber des Conficker-Wurmes das Fundament für eine neue Generation von Bot-Netzen legen. Momentan stehen die infizierten Maschinen quasi »Gewehr bei Fuß«. Laut G-Data werden die Cyber-Kriminellen aber möglichweise schon bald zum Angriff blasen und das vorbereitete Bot-Netz in einer konzertierten Aktion losschlagen lassen.

Wie man sich schützen kann

Das Beispiel Conficker zeigt, wie wichtig ein funktionierendes Patch-Management ist. Die Lücke in Windows, die sich Conficker zunutze macht, ist bereits seit Oktober 2008 bekannt. Seitdem bietet Microsoft ein Update an, mit dem sich diese Lücke schließen lässt.

Offenkundig haben es viele Netzwerkadministratoren versäumt, den Patch zeitnah einzuspielen. Hier der Link zum Microsoft-Security-Bulletin [2] zur RPC-Lücke.

Ein weitere Faktor, der die Verbreitung von Conficker fördert, sind zu schwache Passwörter für Netzwerkfreigaben und Benutzerkonten. Ein simples Passwort wie »12345« oder »admin« bietet so gut wie keine Sicherheit, was die Schöpfer von Conficker ausnutzen.

Darüberhinaus gibt es in vielen Unternehmen keine festen Richtlinien bezüglich des Einsatzes von Wechseldatenträgern wie USB-Sticks. Diese sind aber einer der Hauptverbreitungswege für Conficker. Der Autostart-Mechanismus ist auf den meisten Rechnern aktiviert und wird nicht nur von Conficker, sondern auch von vielen anderen Schädlingen zur Verbreitung genutzt.

Ein Nachteil, wenn die Autostart-Funktion deaktiviert wird: CDs oder DVDs starten in diesem Fall nicht mehr automatisch, sobald sie ins Laufwerk eingelegt werden. Das ist aber zu verschmerzen.

Einen interessanten Dienst bietet laut Benzmüller die IT-Sicherheitsfirma Open DNS [3]. Der Service erkennt mit Conficker infizierte PCs im Netzwerk und blockiert den Zugang zu den 250 täglich neu generierten Bot-Net-Domains. So bleibt der Zombie-PC zwar infiziert, aber ohne Befehle von seinem »Meister« inaktiv.

Wie man erkennt, ob Conficker installiert ist

Ein Virenschutz mit aktuellen Signaturen, beispielsweise G-Data Antivirus 2009 oder G-Data Antivirus Business, erkennt Conficker und verhindert eine Infektion. Wer jedoch seine Hausaufgaben nicht gemacht hat und systeminterne Hintertüren offen lässt, indem kritische Patches nicht eingespielt werden, wird einige Mühe aufbringen müssen, der Infektion Herr zu werden.

Conficker verwendet zufällige Zeichenfolgen als Dateinamen. Dadurch ist es schwierig, die Dateien zu finden. Er registriert sich als Systemdienst mit zufälligem Namen. Die Registry wird beispielsweise folgendermaßen modifiziert:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services [Zufälliger Name für den Dienst]

Image Path = „%System Root%system32svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services[Zufälliger Name für den Dienst]Parameters

ServiceDll = „[Pfad und Dateiname der Malwaredatei]“

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Windows NTCurrentVersionSvcHost

Dass ein Rechner infiziert ist, erkennt der User daran, dass bestimmte sicherheitsrelevante Dienste nicht mehr funktionieren. Dazu gehören das Windows Security Center, Windows Auto Update, Windows Defender und der Error-Reporting-Service.

Außerdem blockiert Conficker den Zugang zu den Web-Seiten aller führenden Anbieter von Antiviren-Software sowie zu Malware-Informationsportalen. Der Schädling verhindert unter anderem den Zugang zu URLs, die Begriffe, wie »virus«, »spyware«, »microsoft«, »gdata« oder »symantec« enthalten.

Indikator für Infektion: Erhöhter Traffic auf Port 445

Netzwerkadministratoren erkennen infizierte Rechner an einer Zunahme des Datenverkehrs, der über Port 445 läuft. Nach der Infektion ermittelt Conficker die IP-Adresse des infizierten Rechners, indem er eine der folgenden Seiten aufruft:

http://checkip.dyndns.org [4]

http://getmyip.co.uk [5]

http://www.getmyip.org [6]

Anhand des Datums von folgenden Domains werden die variablen Update-Adressen berechnet: ask.com, baidu.com, google.com, msn.com, www.w3.org und yahoo.com. Rechner, die auf diese Domains zugreifen, könnten somit von dem Schädling befallen sein.

Wie sich Conficker wieder entfernen lässt

Einen umfassenden Leitfaden zur manuellen Desinfektion verseuchter Systeme hat Microsoft zusammengestellt. Hier der Link zur entsprechenden Web-Seite [7].

Da der Schädling komplex aufgebaut ist und an vielen Stellen gleichzeitig das befallene System angreift, kann eine Bereinigung von Hand mühsam und zeitraubend sein. G-Data empfiehlt daher, die Entfernungsroutinen der installierten Antiviren-Software zu verwenden.

Microsofts Malware Protection Center hat eine Anleitung zusammengestellt, mit der sich Conficker von Hand von infizierten Rechnern entfernen lässt.

Alternativ dazu können Anwender die aktuelle Version von Microsofts »Malicious Software Removal Tool« (MSRT, Tool zum Entfernen Bösartiger Software) einsetzen.

Das MSRT wird auf Windows-Systeme automatisch heruntergeladen, wenn der Nutzer die Auto-Update-Funktion aktiviert hat. Die Software kann jedoch auch manuell installiert werden. Die aktuelle Ausgabe vom 12. Februar (KB890830) stellt Microsoft in seinem Software-Download-Bereich zur Verfügung. Hier der Link zum Microsoft-Windows-Tool zum Entfernen bösartiger Software [8].

Da MSRT seine Arbeit im Hintergrund verrichtet, ist es für Nutzer nicht unmittelbar erkennbar, ob das Tool aktiviert wurde. Überprüfen lässt sich das, indem der User in der Registry nach dem entsprechenden Eintrag sucht.

Dazu im Windows-Startmenü unter »Ausführen« (deutsche Windows-Version) beziehungsweise »Run« (englisches Betriebssystem) »regedit.exe« eingeben und damit den Registrierungseditor starten.

In der Registry müsste sich dann folgender Eintrag finden:

HKEY_Local_MachineSoftwareMicrosoftRemovalToolsMRT

[1] http://www.gdata.de/
[2] http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067.mspx
[3] http://www.opendns.com/
[4] http://checkip.dyndns.org
[5] http://getmyip.co.uk
[6] http://www.getmyip.org
[7] http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
[8] http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=de

Verwandte Artikel