Entfernen von Conficker.B


Gestern habe ich vom Worm:Win32/Conficker.B geschrieben. Einen Wurm, der eine Schwachstelle angreift, welche Ende Oktober durch eine außerplanmäßige Sicherheits-Aktualisierung geschlossen wurde.

Obwohl die dahinterliegende Schwachstelle von Anfang an angegriffen wurde, und durch einen ersten Wurm nur wenige Wochen später Neuerlicher Alarm zur außerplanmäßigen Sicherheitsaktualisierung MS08-67 gegeben werden musste, hat erst die aktuelle Variante des Wurms es geschafft sich in einigen Kunden Netzwerken einzunisten. Manchmal waren ungenügend aktualisierte Computer der Auslöser, manchmal Antivirensoftware, die Ihrer Aufgabe nur mangelhaft nachkam. Nicht alle Antiviren Pakete konnten so wie Windows Live OneCare als auch Microsoft Forefront von Anfang an die diversen Varianten von Win32/Conficker erkennen.

Was aber, wenn man nun zu den Unglücklichen gehört, die sich Worm:Win32/Conficker.B eingefangen haben? An sich ist die Antwort ganz simpel (Aktualisierung: tiefergreifende Checklisten gibt es im Post: technische Anleitung zum Entfernen von Conficker.B ):

  1. Einspielen der außerplanmäßigen Sicherheits-Aktualisierung MS08-67
    Aktualisierung: Für technisch weniger interessierte, die einfach nur die Sicherheits-Aktualisierung herunterladen wollen: Dringendes Sicherheitsupdate von Microsoft für Oktober 2008
  2. System mit einem entsprechenden Werkzeug säubern.

Aber welche Werkzeuge eignen sich zum Säubern des Computers?

Also am schnellsten anzuwenden ist wahrscheinlich das MSRT (Malicious Software Removal Tool, Werkzeug zum Entfernen von Schadsoftware). Aktualisierung: Für Unternehmenskunden gibt der Knowledge Base Artikel 891716 Anleitungen zum Einsatz des MSRT in Unternehmens Netzwerken

Was genau ist das Werkzeug zum Entfernen von Schadsoftware? 

Das Microsoft Windows-Tool zum Entfernen bösartiger Software dient zur Überprüfung von Computern mit Windows Vista, Windows XP, Windows 2000 und Windows Server 2003 auf Infektionen mit bestimmter, weit verbreiteter schädlicher Software (z. B. Blaster, Sasser oder Mydoom, oder eben jetzt Conficker). Falls möglich, wird die schädliche Software entfernt. Nach Abschluss des Überprüfungs- und Entfernungsprozesses wird ein Bericht mit den Ergebnissen einschließlich der gegebenenfalls ermittelten und entfernten schädlichen Software angezeigt.

Microsoft gibt jeden zweiten Dienstag des Monats und eine aktualisierte Version dieses Tools heraus. Genau das ist auch gestern am Abend erfolgt. Und bei dieser Gelegenheit wurde auch das Erkennen und Entfernen von Conficker eingebaut.

Wird das Werkzeug zum Entfernen von Schadsoftware automatisch auf meinem Computer ausgeführt? 

An sich würde das MSRT im Zuge der automatischen Aktualisierungen gleich mit ausgeführt werden. ABER: Worm:Win32/Conficker.B schaltet auf den befallenen Computern eben diese automatische Aktualisierung aus. Daher muss das Entfernen zuerst einmal durch manuelles Starten des MSRT erfolgen. Danach sollte man auch die Funktion des automatischen Aktualisierens wieder einschalten.

Genauso gut aber eignet sich auch zum Beispiel der kostenlose Windows Live OneCare Safety Scanner. Oder jegliche aktuelle Anti Viren Software, wie Windows Live OneCare als auch Microsoft Forefront die in der Lage ist Conficker.B zu erkennen und zu entfernen.

Wo bekomme ich weitere Informationen und Hilfestellung?

Weitere technische Erklärungen zum MSRT aber auch zum Aufbau von Conficker finden sich im Blog des MMPC (Microsoft Malware Protection Center): MSRT Released Today Addressing Conficker and Banload sowie im Blog meines Kollegen Roger Halbheer: Additional Information on Conficker – MSRT removing Conficker

Für Privatkunden bietet Microsoft zudem kostenlose Unterstützung zu viren- und sicherheitsrelevanten Supportfragen. Unter der Telefonnummer 0800 – 0123 345 ist diese Unterstützung aus ganz Österreich kostenfrei von Montag bis Freitag von 8-18 Uhr und Samstag von 9-17 Uhr verfügbar.

Schlussendlich lässt sich auch hier wieder einmal nur die Wichtigkeit der grundsätzlichen Sicherheits-Einstellungen betonen:

  • Firewall aktivieren
  • Automatische Aktualisierungen aktivieren (oder ähnliche Mechanismen wie Windows Updates Server in Unternehmens Umgebungen)
  • und klarerweise der Einsatz von aktueller Antivirensoftware
Comments (19)

  1. The Wizard says:

    Also da muß ich jetzt als ex XP-User mehr als nur dazwischen funken!

    @BennyFaME: Nicht was vergessen?? Wie siehts denn mit Sicherheits-Updates aus??

    @Thomas: Die Lücken die Conficker ausnutzt sind eigentlich schon längst geschloßen! Das waren die gleichen wie bei W32.Blaster von 2003! Hast du die automatischen Updates nicht aktiviert? Bist doch dann selber Schuld für die Menge Arbeit! Solchen einen Idiotischen Admin würde ich ziemlich schnell vor die Tür setzten!

    Mike

  2. Anonymous says:

    Letzte Woche habe ich mit Entfernen von Conficker.B eine Kurzanleitung gepostet, wie man Conficker.B

  3. itmarc says:

    danke für den hinweis. hat mir sehr weitergeholfen -:)

  4. thomas says:

    Hallo,

    ich finde diesen Beitrag ein Frechheit!

    Ich habe die letzte Woche bei einem unserer Kunden mehrere Stunden verbracht (76 um genau zu sein).

    Es handelte sich genau um diesen Wurm. Ein MS Call war Montag, den 05.01.09 offen. Ende vom Lied:

    zu 90% der Conficker.b. So die Aussage. Ein "Gegenmittel" gab es von MS Seite leider nicht.

    "Bitte wenden Sie sich an Ihren AntiVirus Hersteller".

    Ein Scannen mit MSRT oder mit dem Windows Live OneCare Safety Scanner brachte kein Ergebnis. Der Virus wurde Montags nicht einmal erkannt!!! Geschweige denn bekämpft!

    Dieses Problem hatte jedoch nicht nur MS sondern auch alle anderen AntiViren Hersteller. Ab Mittwoch gab es Signaturen welche den Wurm erkannten und auch mehr oder weniger gut bekämpften.

    Für Antworten auf meinen post bin ich unter thomas.koch@yahoo.de zu erreichen.

    Gruß

    Thomas

  5. Mario says:

    Hallo,

    dieser Artikel ist keine Frechheit, sondern bündelt die gewonnenen Informationen der letzten Tage ganz gut.

    Ich habe mich in den letzten Tagen intensiv mit dem Thema auseinander setzen müssen, und kann daher sagen, das z.B. das MSRT erst am Dienstag die geeigneten Signaturen hatte.

    Tool anderer Hersteller wie F-Secure fanden zwar den Conficker.B, entfernten diesen aber nicht wirkungsvoll.

  6. thomas says:

    Da letzte Woche Dienstag in einigen Bundesländern Feiertag war wurde der MS Call an den 24h Support weitergereicht. Dieser erzählte uns Dienstag Abend das wir uns an unseren AntiViren Hersteller wenden sollen weil eben MSRT den Virus nicht erkennt bzw. erkannt hat!

    Gruß

  7. Mario says:

    Hallo,

    von welchem Dienstag reden wir den?

    Diese Woche Dienstag den 13.01.09, hat es ein Update des MSRT gegeben (http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=de),
    seit diesem Zeitpunkt wurde Conficker.b definitiv erkannt.

    Im übrigen besser als manches Tool der größeren Hersteller von Antivirensoftware.

    Alles in allem, hätte ich mir nur mehr detailierte Infos über Funktonsweise und Verbreitung des Conficker.B gewünscht, diese waren teilweise sehr unterschiedlich.

  8. KaeferKarl says:

    @Thomas

    >Ich habe die letzte Woche bei einem unserer Kunden mehrere Stunden verbracht (76 um genau zu sein).

    Nun, da hätte man locker auf 40 Workstation manuell die Systeme neu aufsezten können…

    Und wenn du dem Kunden dann gleich dazu geraten hättest auf richtige Betriebssystem (alles ausser von MS) umzusteigen, wäre die Zeit auch noch sinnvoll verbracht worden.

    WinDosen sind nun mal nur halbgewalkte Systeme, zwar schön komplex, scheinbar "einfach" zu kinfigurieren (weil halt fast voll grafisch für die allgemein üblichen Sachen), aber offen wie Scheunentore.

    Wie lange werden sich das die Unternehmen noch gefallen lassen – und dann noch Geld dafür bezahlen, dass andere die Kunden-, Lieferanten- und Bankdaten klauen und weiterverkaufen?

  9. SunLuCi says:

    Hallo,

    da ist was wahres dran. Mit einer unbeaufsichtigten Fertiginstallation waere man (wenn man nur von 4 verfuegbaren DVD ausgeht) mit der Neuinstallation (incl. Zusatzprogramme, wenn das ein Bestandskunde ist) der 40 WSes binnen 6 Stunden fertig (gehen wir von sogar 30 Minuten / WS / DVD aus + 1 Stunde als Pufferzeit). Haett´ jett 🙂

    Gruss, SL

  10. kruxo says:

    @kaeferKarl

    Bitte bitte hört doch einmal mit diesen Pauschalierungen auf ! Ihr wißt doch gar nicht, welche Anwendungssoftware  auf den Stationen dieses Kunden läuft.

    Natürlich kann man in der Zeit 40 oder 100 Systeme neu aufspielen. Dabei handelt es sich dann um reine Secretary-Stationen, wo die Standardanwendungen einer Firma drauf sind.

    Gibt es dann abteilungsspezifische Software, z.B. GIS-, CAD-, Datenbank- oder Entwicklungs- Software, dann sitzt man leicht mal ein paar Stunden nur vor einem Rechner, um die Umgebung wieder einigermaßen wiederherzustellen. Ganz zu schweigen von File-, Database- und Licence- Servern.

    Da muß man als Systembetreuer schon genau abwägen, ob man 50 Rechner neu aufsetzt und die Leute "dumm sterben" läßt, nur damit die Meldung "Problem behoben" rausgehen kann. Ich selber setze erstmal auf jeden erdenklichen Rettungsversuch, bevor ich zum Vorschlaghammer greife.

  11. alex says:

    Ich habe bei der entfernung von Viren gute Erfahrungen mit der Windows-Systemwiederherstellung gemacht.

    Geht deutlich schneller als mit dem Virenscanner und funktioniert auch zuverlässiger!

    Vorrausetzung ist natürlich das die Infektion noch nicht allzu lange zurückliegt und das anschließend alle neueren Updates wieder eingespielt werden…

  12. qwert says:

    Eben das teuflische an diesem Wurm ist, dass er die Systemwiederherstellungen löscht.

  13. thomas says:

    Hallo,

    @KaeferKarl: Danke für deinen Beitrag. Was machst du eigentlich auf einem TechnetBlog?

    @kruxo: Danke

    Eine Neuinstallation war nicht möglich. Die PCs mussten auf jeden Fall ihre aktuelle Konfiguation behalten. Auserdem waren es über 200 Clients in 24 Standorten.

    Dazu kommt, dass das Problem bei mir am 05.01. auftauchte, also ziemlich am Anfang. Das erschwerte denke ich die Arbeit enorm.

  14. Wolfgang says:

    Hilfe ist doch so einfach… use Linux

    gib winficker keine Chance 😉

  15. Emigrant says:

    Linux is like a tipi:

    no windows, no problems.

  16. Alois says:

    Witzig !

    hilfe ist doch so einfach

    http://sashland.de/portal/2009/01/20/symantec-removal-tool-fur-w32downadup/

    Mach das einal mit infiziertem Rechner.

    Weis keiner Hilfe für Otto Normaluser?

    mfg Alois

  17. danny says:

    Hi,

    Ich würde einfach nur mit der Testversion von G-Data ein Durchlauf machen und conficker dann damit löschen!!!

  18. BennyFaME says:

    Also dieses rumgemeckere über Windows und Thema Sicherheit kann ich nicht mehr hören…

    Die größte Sicherheitslücke sitzt zirka 30 Zentimeter VOR DEM BILDSCHIRM!!!   Wenn man gewisse Regeln beachtet, ist man vor solchem Zeugs relativ sicher.  Und wenn die Admins der Unternehmen das System gut absichern würden, kämen solche Probleme gar nicht vor….

    1. anständige Hardware-Firewall,  2. fremde USB-Sticks oder Festplatten verbieten, 3.aktuelle Virenscanner, 4.Pflicht für gute Passwörter, 5. Benutzerrechte entsprechend einrichten (jeder darf nur das, was er braucht), entsprechende Schulung der Mitarbeiter und Warnung, was passiert, wenn gegen Regeln verstoßen wird!

    Auch Linux hat Sicherheitslücken. Wenn Admins Passwörter wie "eva1" oder "paul1234" vergeben und Router falsch konfigurieren, ist man ganz schnell im Firmennetz.

    "Windows ist schuld" ist nur eine gute Ausrede für unfähige Admins!

Skip to main content