Wurm bedroht Unternehmensnetzwerke: Neue Versionen von Downadup im Umlauf

Kostenloses Tool zur Entfernung der aktuell bekannten Versionen

(13.01.09) - F-Secure warnt vor einer neuen Version des "Downadup"-Wurms. Er infiziert sowohl Windows PCs als auch Server und verursacht diverse Probleme. Seit Neujahr erhielt F-Secure mehrere Berichte über Unternehmensnetzwerke, die sich mit verschiedenen Varianten des Wurms infizierten. F-Secure arbeitet direkt mit betroffenen Unternehmen und verschiedenen CERT-Organisationen (Computer Emergency Response Team) zusammen, um den Ausbruch zu stoppen.

Downadup ist auch unter dem Namen Conficker bekannt und bezeichnet eine große Familie von Netzwerk-Würmern. Diese Schädlinge sind außergewöhnlich schwierig zu entfernen. Dies gilt besonders, wenn das Netzwerk von Innen infiziert wurde.

Wie lässt sich eine Infektion verhindern:

· Stellen Sie sicher, dass die aktuellsten Microsoft Patches installiert sind

· Überprüfen Sie, ob Ihre Antivirus-Lösung auf dem neuesten Stand ist und die aktuellen Updates installiert sind

· Deaktivieren Sie die Funktionen AUTORUN und AUTOPLAY für USB-Sticks

· Achten Sie darauf, dass die Domain-Passwörter der Nutzer stark sind

· Schenken Sie den Domain-Passwörtern der Administratoren besondere Aufmerksamkeit

Was ist zu tun, wenn das Netzwerk bereits infiziert ist:

· Schauen Sie im Internet, ob der Hersteller Ihres Antivirus-Produkts bereits eine Anleitung zur Desinfektion bereitgestellt hat

· Die Beseitigung des Wurms ist komplex und erfordert eventuell die Abschaltung einiger Netzwerkbereiche

· Beschränken Sie die Nutzung von USB-Sticks und blocken Sie unnötigen Datenverkehr schon an der Firewall

Wie verhält sich der Wurm?

Downadup nutzt ganz verschiedene Möglichkeiten sich zu verbreiten, wie etwa die kürzlich behobene Schwachstelle im Windows Server Service. Außerdem versucht der Wurm Netzwerk-Passwörter zu erlangen oder infiziert USB-Sticks. Hat sich die Schadsoftware erst einmal Zugang zum Netzwerk verschafft, ist es sehr schwer, sie wieder komplett zu entfernen.

Ein typisches Problem in den betroffenen Netzwerken ist das Blockieren des Netzwerk-Zugangs für bestimmte Accounts. Da der Wurm systematisch Passwörter ausprobiert, werden einige Nutzer oft automatisch gesperrt, da zu viele falsche Eingaben erfolgt sind.

Hat sich der Wurm auf einem Rechner eingenistet, verteidigt er sich sehr aggressiv: Er integriert sich durch Restart in den Boot-Prozess des Computers und vergibt Zugriffsrechte für seine Files und Registry Keys. So können Nutzer diese weder Löschen noch Ändern.

Zudem lädt der Wurm ständig modifizierte Versionen von sich herunter und nutzt dabei eine lange Liste von verschiedenen Webseiten. Die Namen dieser Webseiten werden durch einen Algorithmus generiert, der das aktuelle Datum und die Uhrzeit als Basis nimmt. Da es unzählige verschiedene Domain-Namen gibt, die der Wurm nutzen kann, ist es für die Hersteller von Sicherheitslösungen sehr schwierig, alle Seiten zeitnah ausfindig zu machen und zu sperren. (F-Secure: ra)