Menü

Einfacher Conficker-Test für Endanwender

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 151 Beiträge
Von

Joe Stewart von SecureWorks hat einen einfachen Test entwickelt, der auf einen Blick zeigt, ob ein System mit einer der weit verbreiteten Conficker-Versionen infiziert ist. heise Security stellt eine deutsche Version dieser Testseite bereit.

Fehlen auf der Testseite wie in dieser Abbildung bestimmte Bilder, ist das System wahrscheinlich infiziert.

Wenn man den Verdacht hat, dass ein System mit Conficker infiziert ist, kann man der installierten Antiviren-Software nicht mehr vertrauen. Denn die Schadsoftware beendet eine Reihe von Sicherheitsdiensten und verhindert den Start bestimmter Programme. Der neue Test beruht auf der Tatsache, dass Conficker den Zugriff auf diverse Sicherheits- und Antiviren-Seiten blockiert. Dazu bindet eine Seite Bilder von normalen und von blockierten Sites ein. Erscheinen nur die Bilder der AV-Hersteller nicht, ist die Wahrscheinlichkeit hoch, dass der Rechner mit Conficker infiziert ist – oder einem anderen Schädling, der sich ähnlich verhält.

Auf jeden Fall ist es dann eine gute Idee, dem System beispielsweise mit Knoppicillin zu Leibe zu rücken, oder zumindest eines der Conficker-Removal-Tools zu Rate zu ziehen. Dabei sollte man allerdings keinesfalls blindlings dem ersten Suchergebnis folgen, sondern gezielt einen vertrauenswürdigen Hersteller ansteuern (siehe: Trittbrettfahrer missbrauchen Angst vor Conficker).

Der Test hat allerdings einige Einschränkungen, die man beachten muss. So filtert Conficker Zugriffe, indem er sich in dnsapi.dll einklinkt und dort DNS-Anfragen blockiert. Das betrifft Anwender, die einen Proxy einsetzen, nicht. Damit eignet sich der Test unter anderem nicht für den Einsatz in Firmennetzen. Dort empfiehlt sich der Einsatz eines Netzwerk-Scanners, der Conficker erkennen kann.

Außerdem blockierte die Ur-Version Conficker.A noch keine DNS-Anfragen, sodass man eine Infektion damit über die Testseite nicht entdecken kann. Allerdings ist Conficker.A im Vergleich zu seinen Nachfolgern Conficker.B/C nicht sonderlich weit verbreitet.

Fast schon peinlich ist allerdings, dass die Conficker Working Group einfach den Originaltest von Stewart übernommen hat, ohne einen Hinweis auf die fehlende Erkennung von Conficker.A zu ergänzen. Statt dessen findet sich dort die irreführende Erklärung: "Not Infected by Conficker". Man sollte eigentlich meinen, dass eine solche Organisation, in der sich Microsoft und alle namhaften AV-Hersteller engagieren, ihre Tests vor der Veröffentlichung auch testet.

Felix Leder und Tillmann Werner, die beiden Autoren der Honeynet-Conficker-Analyse, haben ebenfalls einen Test entwickelt, der auf den durch Conficker blockierten DNS-Anfragen beruht. Sie setzen CSS-Stylesheets ein, um eine Diagnose auf möglichen Conficker.B/C-Befall zu stellen.

Siehe dazu auch:

(ju)