|
|
Rubrik: Virenwarnung/Hintergrund Antworten auf die wichtigsten Fragen zu "Conficker" Am Beispiel Conficker zeigt sich drastisch die essentielle Bedeutung eines funktionierenden Patch-Managements (
Anzeige
G Data Security-Experte Ralf Benzmüller gibt in seinem Informationspapier Antworten auf die wichtigsten Fragen zu Conficker: 1. Wie gefährlich ist Conficker wirklich? 2. Wie viele Rechner sind damit infiziert? 3. Wie erkennt man, ob Conficker installiert ist? 4. Wie kann man Conficker wieder entfernen? Fragen und Antworten zu Conficker Conficker - auch unter den Namen Downadup, Downad und Kido.ih bekannt - ist der erfolgreichste Wurm der letzten zwölf Monate. Hier finden Sie Antworten auf die wichtigsten Fragen. Wie gefährlich ist Conficker wirklich? Conficker nutzt eine Schwachstelle im RPC-Dienst von Windows, die im Oktober von Microsoft durch ein außerordentliches Patch geschlossen wurde. Dazu wird eine präparierte Anfrage an einen Rechner gestellt. Wenn er für die Schwachstelle anfällig ist, wird eine Schaddatei an den Opferrechner geschickt. Es wird ein HTTP-Server installiert und der neu infizierte PC versendet präparierte Anfragen an andere Rechner und liefert ggf. die Schaddateien nach. Zusätzlich verbreitet sich Conficker in lokalen Netzwerkfreigaben, die mit schwachen Passwörtern geschützt sind und nutzt den Autostart-Mechansimus von USB-Wechseldatenträgern, wie Festplatten, Sticks, Fotokameras etc. Diese Kombination macht ihn zum effektivsten Wurm der letzten zwölf Monate. So waren etwa 3000 Rechner der Kärntner Landesregierung und zahlreiche Krankenhäuser in Österreich und England befallen, und Teile der französischen Marine waren lahm gelegt. Nach erfolgreicher Infektion werden weitere Schaddateien von verschiedenen Domains herunter-geladen, die u.a. Scareware auf dem Rechner installieren. Um den Kontakt zu den Botnetz-Servern nicht zu verlieren generiert Conficker anhand des Datums täglich ca. 250 neue Domain-Namen. Die derzeitige Infektionswelle deutet darauf hin, dass die Urheber des Conficker-Wurmes das Fundament für eine neue Generation von Botnetzen legen. Momentan stehen die infizierten Maschinen quasi "Gewehr bei Fuß", möglicherweise werden die Cyber-Kriminellen aber schon bald zum Angriff blasen und das vorbereitete Botnetz in einer konzertierten Aktion losschlagen lassen. Wie viele Rechner sind damit infiziert? Die Schätzungen gehen weit auseinander und reichen von einigen Hunderttausend bis zu über zehn Millionen infizierten Maschinen. Eine genaue Messung gestaltet sich schwierig. Viele infizierte Rechner verbinden sich mit mehreren Control-Servern, so dass sie mehrfach gezählt werden können. Andererseits können hunderte infizierte Rechner in Unternehmensnetzwerken nach außen hin wie ein einzelner infizierter Rechner erscheinen. Aber selbst bei konservativer Schätzung entsteht so eins der leistungsfähigsten Bot-Netze. Wie kann man sich schützen? Am Beispiel Conficker zeigt sich drastisch die essentielle Bedeutung eines funktionierenden Patch-Managements. Die im Betriebssystem zu suchende Sicherheitslücke, die Conficker sich zunutze macht, ist bereits seit Oktober 2008 bekannt. Seitdem bietet Microsoft auch das zugehörige Update an, mit dem sich diese Lücke schließen lässt. Leider haben es viele der verantwortlichen Netzwerkadministratoren versäumt, rechtzeitig zu reagieren, und den bereitstehenden Patch zeitnah einzuspielen. Als weiterer entscheidender Faktor ist die Vergabe geeigneter Passwörter für Netzwerkfreigaben und Benutzerkonten zu nennen. Ein simples Passwort wie "12345" oder "admin" bietet keinerlei Sicherheit, was die Schöpfer von Conficker gnadenlos ausnutzen. Darüber hinaus gibt es in vielen Unternehmen keine festen Richtlinien Bezüglich des Einsatzes von Wechseldatenträgern wie z.B. USB-Sticks, die einen der Hauptverbreitungswege für Con- ficker darstellen. Der Autostart-Mechanismus ist auf den meisten Rechnern aktiviert und wird nicht nur von Conficker sondern auch von vielen anderen Schädlingen zur Verbreitung genutzt. Die Deaktivierung der Autostartfunktion beeinträchtigt allerdings den Nutzungskomfort von CDs. Einen interessanten Dienst bietet OpenDNS. Sie erkennen mit Conficker infizierte PCs im Netzwerk und blockieren den Zugang zu den 250 täglich neuen Botnetz-Domains. So bleibt der Zombie-PC zwar infiziert - aber ohne Befehle vom Meister auch inaktiv. Wie erkennt man, ob Conficker installiert ist? Ein umfassender Virenschutz mit aktuellen Signaturen ist in der Lage, Conficker zu erkennen. Wer seine Hausaufgaben nicht gemacht hat und systeminterne Hintertüren offenstehen lässt, indem kritische Patches nicht eingespielt werden, wird einige Mühe aufbringen müssen, der Infektion Herr zu werden. Conficker verwendet zufällige Zeichenfolgen als Dateinamen. Dadurch wird es schwierig die Dateien zu finden. Er registriert sich als Systemdienst mit zufälligem Namen. An diesen Stellen wird die Registry modifiziert: HKEY _ LOCAL _ MACHINE/SYSTEM/CurrentControlSet/ Services/ [Zufälliger Name für den Dienst] Image Path = "%System Root%/system32/svchost.exe -k netsvcs" H KEY _ LOCAL _ MACHINE/SYSTEM/CurrentControlSet/ Services/[Zufälliger Name für den Dienst]/Parameters ServiceDll = "[Pfad und Dateiname der Malwaredatei]" H KEY _ LOCAL _ MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/SvcHost Man erkennt ihn daran, dass bestimmte sicherheitsrelevante Dienste nicht mehr funktionieren:
·
·
Windows AutoUpdate
·
Windows Defender · Error Reporting Service Der Zugang zu Webseiten mit folgenden Zeichenfolgen wird unterbunden. Darunter die Webseiten der wichtigsten AV-Hersteller (auch G Data) und Malware-Informationsportale: "virus", "spyware", "malware", "rootkit", "defender", "microsoft", "symantec", "norton", "mcafee", "trendmicro", "sophos", "panda", "etrust", "networkassociates", "computerassociates", "f-secure", "kaspersky", "jotti", "f-prot", "nod32", "eset", "grisoft", "drweb", "centralcommand", "ahnlab", "esafe", "avast", "avira", "quickheal", "comodo", "clamav", "ewido", "fortinet", "gdata", "hacksoft", "hauri", "ikarus", "k7computing", "norman", "pctools", "prevx", "rising", "securecomputing", "sunbelt", "emsisoft", "arcabit", "cpsecure", "spamhaus", "castlecops", "threatexpert", "wilderssecurity", "windowsupdate" Netzwerkadministratoren erkennen infizierte Rechner am erhöhten Traffic auf Port 445. Nach der Infektion ermittelt Conficker die IP-Adresse des infizierten Rechners durch den Aufruf von einer der folgenden Seiten: · http://checkip.dyndns.org · http://getmyip.co.uk · http://www.getmyip.org Anhand des Datums von folgenden Domains werden die variablen Update-Adressen berechnet: · ask.com · baidu.com · google.com
·
msn.com
·
www.w3.org
·
yahoo.com Rechner, die auf diese Domains zugreifen, könnten befallen sein. Wie kann man Conficker wieder entfernen? Ein umfassender Leitfaden zur manuellen Desinfektion verseuchter Systeme ist bei Microsoft erhältlich: http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.Da der Schädling komplex gestaltet ist und an vielen Stellen gleichzeitig in das befallene System eingreift, kann die manuelle Bereinigung sich sehr mühsam gestalten. G Data empfiehlt daher die Entfernungsroutinen der installierten Antiviren-Software oder die aktuelle Version des MSRT ("Tool zum Entfernen Bösartiger Software") zu verwenden. (G Data: ra) |
||
|
