CONFICKER - WURM greift an ....Kurze Info, wie er sich verbreitet und entfernt werden kann.

CONFICKER - WURM

(Stand: April 2009)

Aliase:

Downup,
Downadup
Kido
Worm.Win32/Conficker
W32.Downadup.B
Net-Worm.Win32.Kido.fw
Worm:W32/Downadup.gen!A
Mal/Conficker-A
Trj/Downloader.MDW
I-Worm/Generic.CJY
Win32/Conficker.AE worm
Win32.Worm.Downadup.Gen
Worm/Kido

Computerwurm, der so etwa ab Oktober 2008 auftauchte.
Infiziert hauptsächlich die Betriebssysteme Windows XP
und Windows Vista, kann aber je nach Version
auch ältere Systeme befallen.

Bekannt sind u.a.Infektionen von:

Windows 95
Windows 98
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows 2003

Wie verbreitet er sich?
Nutzt eine Windows Sicherheitslücke, durch die von außen eingeschleuster Code
ausgeführt werden kann (Siehe Bulletin MS08-067).
Durch gezielte Manipulation der Autorun-Funktion werden auch Wechseldatenträger
wie USB-Sticks und externe Festplatten zur Weiterverbreitung genutzt.

Wie stelle ich eine Infektion fest?
Die meisten Versionen des Wurms blockieren Webseiten von Antivirus Anbietern.
Versuchen Sie im Verdachtfalle als erstes als erstes mit dem Internet Explorer
die Seiten solcher Anbieter aus der folgenden Liste zu öffnen:

http://www.norton.de
http://www.symantec.com
http://www.f-secure.com
http://support.kaspersky.com
http://www.sophos.de
http://www.avast.com
http://www.free-av.de
http://www.grc.com
http://www.bsi.de
http://www.safer-networking.org
http://www.spybot.info
http://www.emisoft.de
http://www.avg.com

Sollten Sie auch nach mehreren Versuchen zu verschiedenen Tageszeiten
immer nur die Meldung erhalten, dass "..die Seite zur Zeit nicht verfügbar ist...",
besteht ernsthafter Verdacht, dass der Wurm bereits auf Ihrem System aktiv ist..
Da bei einer akuten Infektion mit Conficker Registry Einträge dahingehend manipuliert sind,
dass von Windows automatisch heruntergeladenen Dateien nicht mehr ausgeführt werden,
kann der Wurm logischerweise auch nicht automatisch entfernt werden.

Online-Diagnosen

Beide Tests basieren auf der Tatsache, dass Conficker (aka Downadup, Kido)
den Zugriff auf über 100 Antivirus und Security Webseiten blockiert.
Die entsprechend präparierte Webseite von Felix Leder und Tillmann Werner
prüft bei Anklicken die Erreichbarkeit dieser Seiten von Ihrem Rechner aus
und gibt Ihnen sofort das Ergebnis bekannt.

Online Conficker Test 1

(Von Felix Leder und Tillmann Werner)

Erkennt nach Angabe der Autoren
lediglich B- und C-Versionen des Wurmes.
Version A soll nicht erkannt werden.

Der Conficker Eye Chart von Joe Stewart basiert auf dem gleichen Prinzip,
verwendet jedoch zur Anzeige Logos von Antivirus- und Securitywebseiten
sowie den Herstellern von alternativen Betriebssystemen.
Je nachdem, welche der 2 Bilderreihen angezeigt wird oder nicht,
ergibt sich eine entsprechende Auswertung, welche Sie ebenfalls auf der Testseite finden.
Sollte die 1.Bilderreihe (Antiviren+Securitylogos) blockiert sein,
während die 2. Reihe (Alternative Betriebssysteme) normal angezeigt wird,
ist dies ein ernsthaftes Indiz für eine Infektion mit Conficker oder anderer Malware.

Kann man dagegen alle 2 Reihen sehen, besteht entweder keine Infektion mit Conficker
oder es wird ein Proxyserver verwendet, wobei in diesem Falle das Testergebnis
dann allerdings unbrauchbar wäre, da Conficker nur direkte Aufrufe
der bereits erwähnten Security/Antivirenseiten durch den Browser blockieren kann.

Online Conficker Test 2

(von Joe Stewart, CWG)

Ein weiterer Test, welcher auch
noch die A-Version erkennen soll.

Wie entfernt man den Wurm?
Zur Entfernung bieten diverse Antivirensoftware-Hersteller
mittlerweile diverse Einzeltools an, die auch ohne
firmenspezifisches Antivirenprogramm
als "stand-alone-tool" genutzt werden können:

W32.Downadup Removal Tool ...........(von Symantec)
F-Downadup ......................................(von F-Secure)
Downadup Removal Tool ...................(von Bitdefender)
KidoKiller ...........................................(von Kaspersky)
Netzwerk- Conficker Clean-up Tool .....(von Sophos)

Weitere INFOS und Tools:

Der Virendoktor; Vom richtigen Umgang mit (vielleicht) infizierten Systemen ...(Heise Security)
heise Security - 31.03.09 - Conficker entmystifiziert.........................................(Heise Security)
Neuen Conficker.B Wurm entfernen...............................................................(Sanner-Consult)
Informatik IV Containing Conficker................................................................(iv.cs.uni-bonn.de)

(Stand: April 2009)

Meine Meinung:
Zunächst mal keine Panik bekommen und kühlen Kopf bewahren!
Mit den o.g. Tools lassen sich die meisten Versionen
des Wurms schon relativ gründlich entfernen.
Zudem sollten auch alle aktuellen Virenscanner mit Wächtermodulen
mittlerweile den Wurm und seine nachgeladenen Module
schon im Primärstadium sicher erkennen und löschen können.

Mit zusätzlichen Trojanerscannern, Registrycleanern und sonstigen
Cleaning- und Securitytools werden dann evtl.verbliebene Wurm-Module
und sonstige Dateileichen einschließlich verbleibender Falscheinträge
in der Registry entfernt.

DER TECHNODOCTOR

AKTUELLES

ARCHIV

Startseite