Hallo zusammen, da das Thema "Conficker" leider immer noch heiß gehandelt wird, obwohl das Ausnutzen der entsprechenden Lücke schon im letzten Jahr über das von uns bereitgestellte Security Update hätte verhindert werden können, hat uns unser Security Team ein paar kurze und aussagekräftige Informationen zur Verfügung gestellt, die Hinweise zum Thema geben. Danke an Uwe für diesen Gastbeitrag.

Diese folgenden Hinweise und Maßnahmen sind als Schutz vor einer Infektion/Reinfektion zu verstehen. Diese Schritte beinhalten keine Reinigungstools, sondern Hinweise zum manuellen Vorgehen.

Zunächst einige Informationen zum Thema Conficker:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.C
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
http://support.microsoft.com/kb/962007/de
http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx

Zur Entfernung der Schadsoftware (Malware) und ob Ihre AV Lösung einen Schutz parat hat, kontaktieren Sie bitte Ihren AV Anbieter.

Conficker versucht sich auf folgende Art und Weise zu verbreiten:

• PCs ohne MS08-067 (KB958644) http://support.microsoft.com/?kbid=958644
• Leichte/schlechte Admin$ Share Passwörter
• Autorun 
• Gemappte Laufwerke mit Schreibzugriff
• Geplante Aufgaben

Gegenmaßnahmen um eine Infektion/Reinfektion zu verhindern, nach einer durchgeführten Reinigung (etwa durch einen Anti-Viren Scanner):

1. Installation von MS08-067 auf allen Systemen (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Dies beseitigt nicht eine existierende Infektion. Das ist Aufgabe Ihres AV Anbieters oder eines entsprechenden Tools.
2. Installation einer AV Lösung und Update der Definitionen auf allen Systemen.
3. Bereinigung der Systeme gemäß KB 962007 (http://support.microsoft.com/kb/962007/de). Im KB-Artikel ist auch eine Anleitung vorhanden, wie Sie die Schutzmaßnahmen per Gruppenrichtlinie umsetzen können.
4. Deaktivieren der Autorun-Funktion per Gruppenrichtlinie.
5. Zusätzlich Deaktivieren von Autorun gemäß KB953252 (http://support.microsoft.com/kb/953252/), d.h. einspielen eines Registry Keys und des Fixes auf allen Systemen (da die normale Autorun GPO-Einstellung nicht für Netzlaufwerke gilt, solange der KB967715 nicht installiert ist).
6. Alternativ zu KB953252 können Sie auch KB967715 (http://support.microsoft.com/?kbid=967715) per Microsoft Update/Windows Update/ WSUS verteilen. Zu Beachten ist dabei jedoch, daß Conficker die Windows Update Funktion deaktivieren kann, so daß die Verteilung des Hotfixes über WSUS unter Umständen ins Leere laufen kann.
7. Ändern aller Passwörter und verwenden von komplexen Passwörtern.
8. Bitte benennen Sie alle Dateien / Programme, die Sie zum Entfernen des Conficker Wurms einsetzen wollen (etwa MRT.exe, KB890[...], MS08-067[...], Windows-KB890830[...] etc.), um. Dies ist wichtig für den Fall, daß Sie Variante D haben sollten. Dieser überprüft die Prozesse nach bestimmten Strings und beendet die entsprechenden Prozesse sofort.
9. Auf einem bekannt infizierten Problem sollte sich kein Domain Administrator anmelden!

Diese Maßnahmen sind an jedem Rechner ohne Ausnahme durchzuführen um den Rechner nach einer Bereinigung vor der Reinfektion zu schützen.
Sie sollten also infizierte Rechner vom Netz nehmen, die Schritte durchführen, und erst dann den Rechner wieder ans Netzwerk nehmen.

Generell empfehlen wir, ein einmal infiziertes System neu zu installieren, da man nie mit Gewissheit sagen kann, was die Schadsoftware alles verändert hat.

Viele Grüße
Uwe