Die heise Security Infoseite zu Conficker

Jürgen Schmidt - 03.04.2009

Auf dieser Seite finden Sie alle wichtigen Informationen zu dem Wurm Conficker, also insbesondere wie Sie ihn aufspüren und wie man ihn wieder los wird. Der Computer-Wurm Conficker, bei manchen Herstellern auch als Kido oder Downadup bezeichnet, befällt ausschließlich Windows-Systeme. Er verbreitet sich primär über eine Sicherheitslücke im Windows Server-Dienst, die Microsoft im Oktober 2008 durch einen Patch geschlossen hat. Des weiteren infiziert er Netzwerkfreigaben und mobile Datenträger wie USB-Sticks. Derzeit gibt es im wesentlichen drei Versionen des Wurms: Conficker A, B und C.

Testseiten

Testseiten, die versuchen, eine Infektion mit Conficker zu erkennen:

• Conficker-Test bei heise Security
• Conficker-Test bei heise Security (alte Version)
• Conficker-Test der Uni Bonn

Info-Seiten und Entfernungs-Tools der AV-Hersteller

Viele Hersteller bieten spezielle Tools zum Erkennen und Reinigen von Conficker an. Diese erfordern keine Installation des kompletten AV-Pakets. Am einfachsten laden Sie das Tool auf einem sauberen Rechner herunter, kopieren es auf einen USB-Stick und reinigen damit den infizierten Rechner. Um eine Infektion des Sticks zu vermeiden, sollten Sie unbedingt den Schreibschutz aktivieren, bevor Sie ihn an infizierte Systeme anstecken.

• Sophos* (deutsch) – ssconftool_10_sfx.exe*
• Symantec*(englisch) – FixDwndp.exe*
• F-Secure (englisch) – f-downadup.zip
• McAfee* (englisch), W32/Conficker.worm.gen.c, (englisch) – S.T.I.N.G.E.R.exe
• Trend Micro (deutsch) – SysClean-WORM_DOWNAD.zip
• Kaspersky* (deutsch) – KKiller_v3.4.6.zip*
• BitDefender (englisch) – bd_rem_tool.zip
• Eset (NOD32)* (englisch) – EConfickerRemover.exe*

* Zugriff evtl. durch Conficker blockiert

Netzwerk-Scanner

Diverse Firmen bieten Scanner an, die Conficker übers Netz aufspüren können. Sie beruhen auf einem Verfahren, das Felix Leder und Tillmann Werner entwickelt haben. Dazu muss allerdings der TCP-Port 445 des Zielsystems erreichbar sein, was normalerweise nur innerhalb von lokalen Netzen der Fall ist.

• Nmap ab Version 4.85BETA5
  nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d ip-adresse
• Nessus-Plugin 36036
• Confickertest von McAfee
• ConfickerScanner von eEye
• SCS von der Uni Bonn (Leder, Werner)

Heise-Meldungen zu Conficker

• Conficker entmystifiziert, Forscher analysieren den Code
• Deutsche Forscher entwickeln Netzwerk-Scan für Conficker-Wurm
• Conficker-Wurm rüstet auf
  
• Conficker-Wurm stört legitime Domains im März
• Der Conficker-Wurm wird flexibler, Infos zu Conficker.B (23.2.)
  
• Windows-Wurm nimmt an Fahrt auf, Conficker taucht auf (27.11.)
  
• ]Microsoft patcht kritische Lücke im RPC-Dienst, die Lücke, mit der alles begann (23.10.)
• ICANN-Arbeitsgruppe soll Maßnahmen gegen Conficker-Wurm finden
• Microsoft bietet 250.000 Dollar für Hinweise auf Conficker-Verbreiter
• F-Secure: Jetzt neun Millionen Windows-PCs mit Conficker-Wurm befallen
• Studie: 2,5 Millionen PCs mit Conficker-Wurm infiziert
• Hunderte Bundeswehr-Rechner von Conficker befallen
• Conficker in Kärnten: Nach der Landesregierung nun die Spitäler
• Conficker schlägt bei Kärntner Regierung zu
• Wurm dringt in Systeme der britischen Armee ein

Tipps und Tricks

Zugriffssperre umgehen: Conficker blockiert den Zugriff auf bestimmte Webseiten. Sie können diese Sperre umgehen, indem Sie im Startmenü unter "Ausführen" folgenden Befehl eingeben:

NET STOP DNSCACHE

Auf der Conficker-Seite der Uni-Bonn gibt es eine Reihe interessanter Tools zu Conficker.

Sonstiges

Wir werden versuchen, diese Liste im Lauf der Zeit zu erweitern und zu aktualisieren. Falls Sie Verbesserungsvorschläge haben, oder einer der Links nicht mehr funktionieren sollte, informieren Sie uns bitte unter der Mail-Adresse "confi at heisec.de".