Virenschutz: Conficker:
Tipp: Kleines Anti-Conficker-Brevier für Normal-User

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
14.04.2009

Die amerikanische Sicherheitsfirma Qualys schätzt, dass trotz der Warnungen von Fachleuten und der Berichterstattung in den Medien an die 20 Prozent aller Windows-Rechner für den »Conficker«-Wurm anfällig sind. Deshalb hier ein kleiner Praxisleitfaden, wie man den Schädling erkennt und entfernt.

Offen gestanden hat »Conficker« beste Chancen, sich bei uns IT-Journalisten zum Unwort des Jahres zu entwickeln. Kaum ein Tag, an dem keine Schreckensmeldungen über neue Versionen des Schädlings oder finstere Vermutungen über die Ziele der Autoren des Virus die Runde machen.

Antiviren-Spezialist Sophos bietet kostenlose Clean-up-Tools an, mit denen sich Conficker von Arbeitsplatzrechnern und aus Netzwerken entfernen lässt.

Befremdlich ist, dass trotz der vielen Informationen, die mittlerweile über Conficker veröffentlicht wurden, laut Qualys [1] immer noch jeder fünfte PC für die Schadsoftware anfällig ist. Ein Teil der User hat den Patch von Microsoft [2] nicht eingespielt (hier noch einmal der Link zum Security-Bulletin [3] von Microsoft vom Oktober 2008), ein anderer verzichtet fahrlässiger Weise auf den Einsatz (aktueller) Antiviren-Software.

Das Threat-Network-Testlab von CRN.com [4] hat ein Exemplar von Conficker »eingefangen«. Die Kollegen exerzierten mit seiner Hilfe exemplarisch durch, wie sich die Schadsoftware erkennen und entfernen lässt.

Wie sich Conficker bemerkbar macht

Browser wird »umgeleitet«: Auf einem mit Conficker infizierten Rechner laufen Suchanfragen über Google ins Leere. Die Trefferliste weist Resultate auf, die überhaupt nichts mit den eingegebenen Suchbegriffen zu tun haben. Selbst die Homepage von Google wird nicht geladen. Es kommt stattdessen die Fehlermeldung »Navigation abgebrochen«.

Auch andere Sicherheitsfirmen wie Symantec bieten Scan- und Removal-Tools für Conficker an.

Mysteriöse DLL-Fehlermeldungen: Bereits beim Booten, vor dem Start von Programmen, meldet sich Windows mit vielen merkwürdigen DLL-Fehlern, etwa »wxyghyzing.dll konnte nicht geladen werden«. Wenn der Anwender diese Meldungen weggeklickt hat, lassen sich installierte Programme, etwa Word oder Excel, zwar öffnen. Doch zuvor erscheint nochmals eine DLL-Fehlermeldung, auch wenn Word anschließend normal startet. Probleme mit Peer-to-Peer-Programmen treten auf: P2P-Software wie Kazaa oder Musik-Download-Portale wie Napster funktionieren nicht. Sie können entweder keine Verbindung zum Portal herstellen oder der Rechner hat die User-Profile »vergessen«. Probleme mit Treibern: USB-Geräte oder MP3-Player beziehungsweise deren Treibern werden vom Rechner nicht mehr erkannt. Gleiches gilt für Drucker, und zwar für lokale und Netzwerk-Printer. Verbindung zu Sicherheits-Web-Seiten wird blockiert: Wie bereits berichtet, unterbindet Conficker jeden Versuch, auf die Web-Seiten von IT-Sicherheitsfirmen zu gelangen, etwa www.symantec.de [5], www.trendmicro.de [6] et cetera. Auch Microsofts Update-Service wird lahmgelegt. Dagegen kommt es nicht zu einer spürbaren Verlangsamung des Systems. Auch der Zugriff auf Festplatten ist weiterhin möglich.

Den Schädling eliminieren

CD mit Anti-Conficker-Tool brennen: Um Conficker zu eliminieren, beschafften sich die Mitarbeiter des Threat-Network zunächst das kostenlose Conficker-Clean-up-Tool [7] von Sophos [8]. Da die USB-Ports lahmgelegt waren, brannten sie es auf eine CD-ROM. Unter »Verwandte Artikel« sind übrigens Beiträge mit Links zu Tools anderer Anbieter zu finden.

Rechner vom Netz nehmen: Um eine Reinfektion zu verhindern, wurden alle Netzwerkverbindungen des infizierten Systems deaktiviert, auch der WLAN-Adapter.

Systemwiederherstellung deaktivieren: Damit nicht ein infiziertes System-Backup von Windows eingespielt wird, sollte die Systemwiederherstellung abgeschaltet werden. Den Reiter finden Sie in der »Systemsteuerung« unter »System/Systemwiederherstellung«.

Vor dem Reinigen des Rechners die Systemwiederherstellung von Windows deaktivieren. Sonst besteht die Gefahr, dass durch das Wiedereinspielen eines Backups auch Conficker wieder auf den Rechner gelangt.

Das Clean-up-Tool laufen lassen: Das Anti-Conficker-Tool von der CD-ROM aus starten und den Virus »killen« lassen.

Neu booten und einen Intensiv-Scan durchführen: Nach dem Neustart des Testrechners tauchten immer noch DLL-Fehlermeldungen auf. Allerdings funktionierten Web-Browser und USB-Ports wieder einwandfrei. Es empfiehlt sich, nach dem Neustart das gesamte System mit einer Antiviren-Software komplett zu scannen (Intensiv-Scan, kein Schnelldurchlauf).

Fehler in Registry beseitigen: Nötigenfalls Fehler in der Registry mithilfe von Tools wie etwa Tune-Up-Utilities [9] beheben. Eine Testversion ist auf der Web-Seite des Anbieters kostenlos erhältlich. Allerdings ist beim Einsatz solcher Tools Vorsicht am Platz. Tune Up erstellt allerdings ein Backup der alten Registry-Version, bevor es Änderungen vornimmt.

Netzwerkfähige Removal-Tools: Sophos bietet übrigens, so wie einige andere IT-Sicherheitsfirmen wie etwa Bitdefender [10], auch eine netzwerkfähige Version des Anti-Conficker-Programms an.

[1] http://www.qualys.com
[2] http://www.microsoft.de
[3] http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
[4] http://www.crn.com
[5] http://www.symantec.de
[6] http://www.trendmicro.de
[7] http://www.sophos.de/products/free-tools/conficker-removal-tool.html
[8] http://www.sophos.de
[9] http://www.tuneup.de
[10] http://www.bitdefender.de

Verwandte Artikel