Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > »Conficker«-Wurm: Erkennen und vernichten

»Conficker«-Wurm: Erkennen und vernichten

17. Februar 2009, 12:18 Uhr | Lars Bube
Fortsetzung des Artikels von Teil 2

Infektionen erkennen

Doch manchmal ist es auch schon zu spät, um sich noch mit dem Patch zu schützen. Ob sich der Virus jedoch bereits auf einem System eingeschlichen hat, erkennt man am einfachsten mit entsprechender Security-Software. Ein Virenschutz mit aktuellen Signaturen, wie beispielsweise G-Data Antivirus 2009 oder Business, erkennt Conficker und verhindert eine Infektion. Wer jedoch seine Hausaufgaben nicht gemacht hat, und gleichzeitig keinen aktuellen Virenschutz einsetzt und systeminterne Hintertüren offen lässt, indem kritische Patches nicht eingespielt werden, wird einige Mühe aufbringen müssen, der Infektion Herr zu werden. Denn Conficker verwendet zufällige Zeichenfolgen als Dateinamen. Dadurch ist es schwierig, die Dateien zu finden. Er registriert sich als Systemdienst mit zufälligem Namen. Die Registry wird beispielsweise folgendermaßen modifiziert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [Zufälliger Name für den Dienst]
Image Path = „%System Root%\system32\svchost.exe -k netsvcs“
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Zufälliger Name für den Dienst]\Parameters
ServiceDll = „[Pfad und Dateiname der Malwaredatei]“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

Dass ein Rechner infiziert ist, erkennt der User daran, dass bestimmte sicherheitsrelevante Dienste nicht mehr funktionieren. Dazu gehören das Windows Security Center, Windows Auto Update, Windows Defender und der Error-Reporting-Service. Außerdem blockiert Conficker den Zugang zu den Web-Seiten aller führenden Anbieter von Antiviren-Software sowie zu Malware-Informationsportalen. Der Schädling verhindert unter anderem den Zugang zu URLs, die Begriffe, wie »virus«, »spyware«, »microsoft«, »gdata« oder »symantec« enthalten. Netzwerkadministratoren erkennen infizierte Rechner außerdem an einer Zunahme des Datenverkehrs, der über Port 445 läuft. Nach der Infektion ermittelt Conficker die IP-Adresse des infizierten Rechners, indem er eine der folgenden Seiten aufruft:
http://checkip.dyndns.org
http://getmyip.co.uk
http://www.getmyip.org

Anhand des Datums von folgenden Domains werden die variablen Update-Adressen berechnet: ask.com, baidu.com, google.com, msn.com, www.w3.org und yahoo.com. Rechner, die auf diese Domains zugreifen, könnten somit von dem Schädling befallen sein.

  1. »Conficker«-Wurm: Erkennen und vernichten
  2. Den Wurm verstehen und die IT schützen
  3. Infektionen erkennen
  4. Wie sich Conficker wieder entfernen lässt
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
KONZEPTUM GmbH

KONZEPTUM GmbH
Zyxel Networks A/S

Zyxel Networks A/S
G DATA CyberDefense AG

G DATA CyberDefense AG
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
d.velop AG

d.velop AG