Entfernen von Conficker.B

Gestern habe ich vom Worm:Win32/Conficker.B geschrieben. Einen Wurm, der eine Schwachstelle angreift, welche Ende Oktober durch eine außerplanmäßige Sicherheits-Aktualisierung geschlossen wurde.

Obwohl die dahinterliegende Schwachstelle von Anfang an angegriffen wurde, und durch einen ersten Wurm nur wenige Wochen später Neuerlicher Alarm zur außerplanmäßigen Sicherheitsaktualisierung MS08-67 gegeben werden musste, hat erst die aktuelle Variante des Wurms es geschafft sich in einigen Kunden Netzwerken einzunisten. Manchmal waren ungenügend aktualisierte Computer der Auslöser, manchmal Antivirensoftware, die Ihrer Aufgabe nur mangelhaft nachkam. Nicht alle Antiviren Pakete konnten so wie Windows Live OneCare als auch Microsoft Forefront von Anfang an die diversen Varianten von Win32/Conficker erkennen.

Was aber, wenn man nun zu den Unglücklichen gehört, die sich Worm:Win32/Conficker.B eingefangen haben? An sich ist die Antwort ganz simpel (Aktualisierung: tiefergreifende Checklisten gibt es im Post: technische Anleitung zum Entfernen von Conficker.B):

  1. Einspielen der außerplanmäßigen Sicherheits-Aktualisierung MS08-67
    Aktualisierung: Für technisch weniger interessierte, die einfach nur die Sicherheits-Aktualisierung herunterladen wollen: Dringendes Sicherheitsupdate von Microsoft für Oktober 2008
  2. System mit einem entsprechenden Werkzeug säubern.

Aber welche Werkzeuge eignen sich zum Säubern des Computers?

Also am schnellsten anzuwenden ist wahrscheinlich das MSRT (Malicious Software Removal Tool, Werkzeug zum Entfernen von Schadsoftware). Aktualisierung: Für Unternehmenskunden gibt der Knowledge Base Artikel 891716 Anleitungen zum Einsatz des MSRT in Unternehmens Netzwerken

Was genau ist das Werkzeug zum Entfernen von Schadsoftware?  

Das Microsoft Windows-Tool zum Entfernen bösartiger Software dient zur Überprüfung von Computern mit Windows Vista, Windows XP, Windows 2000 und Windows Server 2003 auf Infektionen mit bestimmter, weit verbreiteter schädlicher Software (z. B. Blaster, Sasser oder Mydoom, oder eben jetzt Conficker). Falls möglich, wird die schädliche Software entfernt. Nach Abschluss des Überprüfungs- und Entfernungsprozesses wird ein Bericht mit den Ergebnissen einschließlich der gegebenenfalls ermittelten und entfernten schädlichen Software angezeigt.

Microsoft gibt jeden zweiten Dienstag des Monats und eine aktualisierte Version dieses Tools heraus. Genau das ist auch gestern am Abend erfolgt. Und bei dieser Gelegenheit wurde auch das Erkennen und Entfernen von Conficker eingebaut.

Wird das Werkzeug zum Entfernen von Schadsoftware automatisch auf meinem Computer ausgeführt?  

An sich würde das MSRT im Zuge der automatischen Aktualisierungen gleich mit ausgeführt werden. ABER: Worm:Win32/Conficker.B schaltet auf den befallenen Computern eben diese automatische Aktualisierung aus. Daher muss das Entfernen zuerst einmal durch manuelles Starten des MSRT erfolgen. Danach sollte man auch die Funktion des automatischen Aktualisierens wieder einschalten.

Genauso gut aber eignet sich auch zum Beispiel der kostenlose Windows Live OneCare Safety Scanner. Oder jegliche aktuelle Anti Viren Software, wie Windows Live OneCare als auch Microsoft Forefront die in der Lage ist Conficker.B zu erkennen und zu entfernen.

Wo bekomme ich weitere Informationen und Hilfestellung?

Weitere technische Erklärungen zum MSRT aber auch zum Aufbau von Conficker finden sich im Blog des MMPC (Microsoft Malware Protection Center): MSRT Released Today Addressing Conficker and Banload sowie im Blog meines Kollegen Roger Halbheer: Additional Information on Conficker – MSRT removing Conficker

Für Privatkunden bietet Microsoft zudem kostenlose Unterstützung zu viren- und sicherheitsrelevanten Supportfragen. Unter der Telefonnummer 0800 - 0123 345 ist diese Unterstützung aus ganz Österreich kostenfrei von Montag bis Freitag von 8-18 Uhr und Samstag von 9-17 Uhr verfügbar.

Schlussendlich lässt sich auch hier wieder einmal nur die Wichtigkeit der grundsätzlichen Sicherheits-Einstellungen betonen:

  • Firewall aktivieren
  • Automatische Aktualisierungen aktivieren (oder ähnliche Mechanismen wie Windows Updates Server in Unternehmens Umgebungen)
  • und klarerweise der Einsatz von aktueller Antivirensoftware