Gerhard´s Marktbeobachtungen

Was sich so tut am IT-Markt Neuigkeiten und Trends

Entfernen von Conficker.B

Entfernen von Conficker.B

  • Comments 19
  • Likes

Gestern habe ich vom Worm:Win32/Conficker.B geschrieben. Einen Wurm, der eine Schwachstelle angreift, welche Ende Oktober durch eine außerplanmäßige Sicherheits-Aktualisierung geschlossen wurde.

Obwohl die dahinterliegende Schwachstelle von Anfang an angegriffen wurde, und durch einen ersten Wurm nur wenige Wochen später Neuerlicher Alarm zur außerplanmäßigen Sicherheitsaktualisierung MS08-67 gegeben werden musste, hat erst die aktuelle Variante des Wurms es geschafft sich in einigen Kunden Netzwerken einzunisten. Manchmal waren ungenügend aktualisierte Computer der Auslöser, manchmal Antivirensoftware, die Ihrer Aufgabe nur mangelhaft nachkam. Nicht alle Antiviren Pakete konnten so wie Windows Live OneCare als auch Microsoft Forefront von Anfang an die diversen Varianten von Win32/Conficker erkennen.

Was aber, wenn man nun zu den Unglücklichen gehört, die sich Worm:Win32/Conficker.B eingefangen haben? An sich ist die Antwort ganz simpel (Aktualisierung: tiefergreifende Checklisten gibt es im Post: technische Anleitung zum Entfernen von Conficker.B ):

  1. Einspielen der außerplanmäßigen Sicherheits-Aktualisierung MS08-67
    Aktualisierung: Für technisch weniger interessierte, die einfach nur die Sicherheits-Aktualisierung herunterladen wollen: Dringendes Sicherheitsupdate von Microsoft für Oktober 2008
  2. System mit einem entsprechenden Werkzeug säubern.

Aber welche Werkzeuge eignen sich zum Säubern des Computers?

Also am schnellsten anzuwenden ist wahrscheinlich das MSRT (Malicious Software Removal Tool, Werkzeug zum Entfernen von Schadsoftware). Aktualisierung: Für Unternehmenskunden gibt der Knowledge Base Artikel 891716 Anleitungen zum Einsatz des MSRT in Unternehmens Netzwerken

Was genau ist das Werkzeug zum Entfernen von Schadsoftware? 

Das Microsoft Windows-Tool zum Entfernen bösartiger Software dient zur Überprüfung von Computern mit Windows Vista, Windows XP, Windows 2000 und Windows Server 2003 auf Infektionen mit bestimmter, weit verbreiteter schädlicher Software (z. B. Blaster, Sasser oder Mydoom, oder eben jetzt Conficker). Falls möglich, wird die schädliche Software entfernt. Nach Abschluss des Überprüfungs- und Entfernungsprozesses wird ein Bericht mit den Ergebnissen einschließlich der gegebenenfalls ermittelten und entfernten schädlichen Software angezeigt.

Microsoft gibt jeden zweiten Dienstag des Monats und eine aktualisierte Version dieses Tools heraus. Genau das ist auch gestern am Abend erfolgt. Und bei dieser Gelegenheit wurde auch das Erkennen und Entfernen von Conficker eingebaut.

Wird das Werkzeug zum Entfernen von Schadsoftware automatisch auf meinem Computer ausgeführt? 

An sich würde das MSRT im Zuge der automatischen Aktualisierungen gleich mit ausgeführt werden. ABER: Worm:Win32/Conficker.B schaltet auf den befallenen Computern eben diese automatische Aktualisierung aus. Daher muss das Entfernen zuerst einmal durch manuelles Starten des MSRT erfolgen. Danach sollte man auch die Funktion des automatischen Aktualisierens wieder einschalten.

Genauso gut aber eignet sich auch zum Beispiel der kostenlose Windows Live OneCare Safety Scanner. Oder jegliche aktuelle Anti Viren Software, wie Windows Live OneCare als auch Microsoft Forefront die in der Lage ist Conficker.B zu erkennen und zu entfernen.

Wo bekomme ich weitere Informationen und Hilfestellung?

Weitere technische Erklärungen zum MSRT aber auch zum Aufbau von Conficker finden sich im Blog des MMPC (Microsoft Malware Protection Center): MSRT Released Today Addressing Conficker and Banload sowie im Blog meines Kollegen Roger Halbheer: Additional Information on Conficker – MSRT removing Conficker

Für Privatkunden bietet Microsoft zudem kostenlose Unterstützung zu viren- und sicherheitsrelevanten Supportfragen. Unter der Telefonnummer 0800 - 0123 345 ist diese Unterstützung aus ganz Österreich kostenfrei von Montag bis Freitag von 8-18 Uhr und Samstag von 9-17 Uhr verfügbar.

Schlussendlich lässt sich auch hier wieder einmal nur die Wichtigkeit der grundsätzlichen Sicherheits-Einstellungen betonen:

  • Firewall aktivieren
  • Automatische Aktualisierungen aktivieren (oder ähnliche Mechanismen wie Windows Updates Server in Unternehmens Umgebungen)
  • und klarerweise der Einsatz von aktueller Antivirensoftware


Comments
  • danke für den hinweis. hat mir sehr weitergeholfen -:)

  • Hallo,

    ich finde diesen Beitrag ein Frechheit!

    Ich habe die letzte Woche bei einem unserer Kunden mehrere Stunden verbracht (76 um genau zu sein).

    Es handelte sich genau um diesen Wurm. Ein MS Call war Montag, den 05.01.09 offen. Ende vom Lied:

    zu 90% der Conficker.b. So die Aussage. Ein "Gegenmittel" gab es von MS Seite leider nicht.

    "Bitte wenden Sie sich an Ihren AntiVirus Hersteller".

    Ein Scannen mit MSRT oder mit dem Windows Live OneCare Safety Scanner brachte kein Ergebnis. Der Virus wurde Montags nicht einmal erkannt!!! Geschweige denn bekämpft!

    Dieses Problem hatte jedoch nicht nur MS sondern auch alle anderen AntiViren Hersteller. Ab Mittwoch gab es Signaturen welche den Wurm erkannten und auch mehr oder weniger gut bekämpften.

    Für Antworten auf meinen post bin ich unter thomas.koch@yahoo.de zu erreichen.

    Gruß

    Thomas

  • Hallo,

    dieser Artikel ist keine Frechheit, sondern bündelt die gewonnenen Informationen der letzten Tage ganz gut.

    Ich habe mich in den letzten Tagen intensiv mit dem Thema auseinander setzen müssen, und kann daher sagen, das z.B. das MSRT erst am Dienstag die geeigneten Signaturen hatte.

    Tool anderer Hersteller wie F-Secure fanden zwar den Conficker.B, entfernten diesen aber nicht wirkungsvoll.

  • Da letzte Woche Dienstag in einigen Bundesländern Feiertag war wurde der MS Call an den 24h Support weitergereicht. Dieser erzählte uns Dienstag Abend das wir uns an unseren AntiViren Hersteller wenden sollen weil eben MSRT den Virus nicht erkennt bzw. erkannt hat!

    Gruß

  • Hallo,

    von welchem Dienstag reden wir den?

    Diese Woche Dienstag den 13.01.09, hat es ein Update des MSRT gegeben (http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=de), seit diesem Zeitpunkt wurde Conficker.b definitiv erkannt.

    Im übrigen besser als manches Tool der größeren Hersteller von Antivirensoftware.

    Alles in allem, hätte ich mir nur mehr detailierte Infos über Funktonsweise und Verbreitung des Conficker.B gewünscht, diese waren teilweise sehr unterschiedlich.

  • @Thomas

    >Ich habe die letzte Woche bei einem unserer Kunden mehrere Stunden verbracht (76 um genau zu sein).

    Nun, da hätte man locker auf 40 Workstation manuell die Systeme neu aufsezten können...

    Und wenn du dem Kunden dann gleich dazu geraten hättest auf richtige Betriebssystem (alles ausser von MS) umzusteigen, wäre die Zeit auch noch sinnvoll verbracht worden.

    WinDosen sind nun mal nur halbgewalkte Systeme, zwar schön komplex, scheinbar "einfach" zu kinfigurieren (weil halt fast voll grafisch für die allgemein üblichen Sachen), aber offen wie Scheunentore.

    Wie lange werden sich das die Unternehmen noch gefallen lassen - und dann noch Geld dafür bezahlen, dass andere die Kunden-, Lieferanten- und Bankdaten klauen und weiterverkaufen?

  • Hallo,

    da ist was wahres dran. Mit einer unbeaufsichtigten Fertiginstallation waere man (wenn man nur von 4 verfuegbaren DVD ausgeht) mit der Neuinstallation (incl. Zusatzprogramme, wenn das ein Bestandskunde ist) der 40 WSes binnen 6 Stunden fertig (gehen wir von sogar 30 Minuten / WS / DVD aus + 1 Stunde als Pufferzeit). Haett´ jett :-)

    Gruss, SL

  • @kaeferKarl

    Bitte bitte hört doch einmal mit diesen Pauschalierungen auf ! Ihr wißt doch gar nicht, welche Anwendungssoftware  auf den Stationen dieses Kunden läuft.

    Natürlich kann man in der Zeit 40 oder 100 Systeme neu aufspielen. Dabei handelt es sich dann um reine Secretary-Stationen, wo die Standardanwendungen einer Firma drauf sind.

    Gibt es dann abteilungsspezifische Software, z.B. GIS-, CAD-, Datenbank- oder Entwicklungs- Software, dann sitzt man leicht mal ein paar Stunden nur vor einem Rechner, um die Umgebung wieder einigermaßen wiederherzustellen. Ganz zu schweigen von File-, Database- und Licence- Servern.

    Da muß man als Systembetreuer schon genau abwägen, ob man 50 Rechner neu aufsetzt und die Leute "dumm sterben" läßt, nur damit die Meldung "Problem behoben" rausgehen kann. Ich selber setze erstmal auf jeden erdenklichen Rettungsversuch, bevor ich zum Vorschlaghammer greife.

  • Letzte Woche habe ich mit Entfernen von Conficker.B eine Kurzanleitung gepostet, wie man Conficker.B

  • Ich habe bei der entfernung von Viren gute Erfahrungen mit der Windows-Systemwiederherstellung gemacht.

    Geht deutlich schneller als mit dem Virenscanner und funktioniert auch zuverlässiger!

    Vorrausetzung ist natürlich das die Infektion noch nicht allzu lange zurückliegt und das anschließend alle neueren Updates wieder eingespielt werden...

  • Eben das teuflische an diesem Wurm ist, dass er die Systemwiederherstellungen löscht.

  • Hallo,

    @KaeferKarl: Danke für deinen Beitrag. Was machst du eigentlich auf einem TechnetBlog?

    @kruxo: Danke

    Eine Neuinstallation war nicht möglich. Die PCs mussten auf jeden Fall ihre aktuelle Konfiguation behalten. Auserdem waren es über 200 Clients in 24 Standorten.

    Dazu kommt, dass das Problem bei mir am 05.01. auftauchte, also ziemlich am Anfang. Das erschwerte denke ich die Arbeit enorm.

  • hilfe ist doch so einfach

    http://sashland.de/portal/2009/01/20/symantec-removal-tool-fur-w32downadup/

  • Hilfe ist doch so einfach... use Linux

    gib winficker keine Chance ;)

  • Linux is like a tipi:

    no windows, no problems.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment