»Conficker«-Wurm: Erkennen und vernichten
Fortsetzung des Artikels von Teil 1
Den Wurm verstehen und die IT schützen
Das Beispiel Conficker zeigt, wie wichtig ein funktionierendes Patch-Management ist. Offenkundig haben es einfach viele Netzwerkadministratoren versäumt, den Patch aus dem Microsoft-Security-Bulletin vom Oktober zeitnah einzuspielen. Ein weitere Faktor, der die Verbreitung von Conficker fördert, sind zu schwache Passwörter für Netzwerkfreigaben und Benutzerkonten. Ein simples Passwort wie »12345« oder »admin« bietet so gut wie keine Sicherheit, was die Schöpfer von Conficker ausnutzen.
Darüberhinaus gibt es in vielen Unternehmen keine festen Richtlinien bezüglich des Einsatzes von Wechseldatenträgern wie USB-Sticks. Diese sind aber einer der Hauptverbreitungswege für Conficker. Der Autostart-Mechanismus ist auf den meisten Rechnern aktiviert und wird nicht nur von Conficker, sondern auch von vielen anderen Schädlingen zur Verbreitung genutzt. Ein Nachteil, wenn die Autostart-Funktion deaktiviert wird: CDs oder DVDs starten in diesem Fall nicht mehr automatisch, sobald sie ins Laufwerk eingelegt werden. Das ist aber zu verschmerzen im Vergleich zum Ärger, den Conficker mit sich bringt.
Einen interessanten Dienst bietet laut Benzmüller die IT-Sicherheitsfirma Open DNS. Der Service erkennt mit Conficker infizierte PCs im Netzwerk und blockiert den Zugang zu den 250 täglich neu generierten Bot-Net-Domains. So bleibt der Zombie-PC zwar infiziert, aber ohne Befehle von seinem »Meister« inaktiv.
- »Conficker«-Wurm: Erkennen und vernichten
- Den Wurm verstehen und die IT schützen
- Infektionen erkennen
- Wie sich Conficker wieder entfernen lässt
