Letzte Woche habe ich mit Entfernen von Conficker.B eine Kurzanleitung gepostet, wie man Conficker.B wieder von seinen Systemen entfernt. Diese Kurzanleitung hat zwar alle wesentlichen Punkte enthalten, in der Praxis hat es sich aber gezeigt, dass eine etwas ausführlichere Checkliste ein besseres methodisches Vorgehen ermöglicht.

Anbei nun zwei solche detailliertere Checklisten zum Entfernen von Conficker.B. Einerseits eine Checkliste was man zentral in der Administration beachten sollte. Zum anderen eine Checkliste, die man dann pro Computer durchführt. Klarerweise können Softwareverteilungsmechanismen, sowie Gruppenrichtlinien zum Einsatz kommen, und so zentralisiert alle Computer erreicht werden.

Zentrale Vorbereitungen:

  1. Starke Passwörter:
    1. Starke Passwörter erzwingen. Eine Anleitung zum Erzwingen starker Passwörter sowie generelle Informationen zum Thema Passwörter überhaupt, findet sich auf  dem Microsoft Technet Portal unter “Frequently Asked Questions About Passwords
    2. Starke Passwörter vergeben: Z.B. mit dem Werkzeug PassGen (Details zu PassGen, sowie der Hash Code zum Überprüfen der Authenzität und Unversehrtheit finden sich auf dem Blog von Steve Riley)
    3. Für Ihre nicht so technischen Mitarbeiter eignet sich sicher gut diese Information: Erstellen starker und sicherer Passwörter
    4. Passwort Stärke überprüfen: Wenn das Passwort auf der Liste der von Conficker.B verwendeten Passwörtern (siehe “Analysis”) aufgeführt ist, sofort ändern
    1. Abschalten der “Account Lockouts” Einstellungen, um sich nicht selber zu sehr zu behindern
    2. Zugriffsberechtigungen auf (alle) Netzwerkfreigaben verschärfen:
      1. Am jeweiligen Wurzelverzeichnis der Freigabe die Rechte „Schreiben“ und „Verändern“ vom Benutzer „Jeder“ entfernen
      2. Auf den darunterliegenden Verzeichnissen brauchen die Rechte nicht geändert werden
      3. In den Wurzelverzeichnissen kann Schadsoftware vorhanden sein, sowie eine Datei “Autorun.inf”. Dadurch wird die Ausbreitung begünstigt. Der Virenscanner soll diese Freigaben säubern
          1. Aktuellste Version des eingesetzten Antiviren Scanners an einem Computer testen, von dem man weiß, dass dieser infiziert ist. Funktioniert der Virenscanner, und erkennt er den Befall?
          2. Wenn der Virenscanner den Befall nicht erkennt: Beim Hersteller des Antivirenproduktes urgieren

              Pro Computer durchzuführen (Zentralisierung über Softwareverteilungsmechanismen, sowie Gruppenrichtlinien):

              ACHTUNG! Muss die Reinigung händisch durchgeführt werden ist folgendes zu beachten:

              1. Computer vom Netzwerk trennen
              2. Nach Möglichkeit nicht mehr als “Domänen Administrator” anmelden, schon gar nicht auf einem versuchten Computer, da sich der Wurm sonst ungehemmt verbreiten kann.

                  Ansonsten sind die folgenden Schritte durchzuführen:

                  1. Überprüfen, ob das aktuelle Service Pack installiert ist, ansonsten Service Pack einspielen. Bei Windows 2000 ist das aktuelle Service Pack SP4, bei Windows XP SP3, bei Windows Vista SP1
                  2. Den eingesetzten Virenscanner auf die aktuelle Signatur überprüfen, gegeben falls mit neuester Signatur ausstatten
                  3. Sicherheits-Aktualisierung MS08-67 einspielen. Da Conficker.B die automatische Software Aktualisierung abdreht, muss die Sicherheits-Aktualisierung über die Softwareverteilung durchgeführt werden. Ist eine solche nicht im Einsatz kann auch dieser Link auf die Sicherheits-Aktualisierung MS08-67 verwendet werden.
                  4. Auch wenn der jeweils eingesetzte Antivirenscanner nun auf dem neuesten Stand sein sollte, das System sicherheitshalber auch mit dem MSRT (Malicious Software Removal Tool, Werkzeug zum Entfernen von Schadsoftware) überprüfen. Der Knowledge Base Artikel 891716 gibt Anleitungen zum Einsatz des MSRT in Unternehmens Netzwerken. Genauso gut eignet sich der kostenlose Windows Live OneCare Safety Scanner zum Auffinden und Entfernen von Conficker.B.
                  5. Autostart Funktionalität bei externen Datenträgern deaktivieren
                  6. Worm:Win32/Conficker.B setzt sich auch als Prozess in den Zeitsteuerungsdienst (Task Scheduler). Daher alle geplanten Prozesse überprüfen, und zweifelhafte Prozesse deaktivieren.
                  7. In besonders heiklen Umgebungen, kann man für Vista mittels Gruppenrichtlinien das Anstecken von externen Datenträgern sperren.
                  8. Sobald diese Schritte durchgeführt sind, sollten als Abschluss nochmals die drei Grundregeln der Sicherheits-Einstellungen überprüft werden:
                    1. Firewall aktivieren
                    2. Automatische Updates aktivieren (oder ähnliche Mechanismen wie Windows Updates Server in Unternehmens Umgebungen)
                    3. Einsatz von aktueller Antivirensoftware + aktuelle Viren Definitionen

                        Diese beiden Checklisten sind als Ergänzung zur Kurzanleitung im Blog Post Entfernen von Conficker.B zu sehen, und für strukturiertes Abarbeiten in größeren Netzwerkinstallationnen gedacht.