Wie man sich schützen kann

Das Beispiel Conficker zeigt, wie wichtig ein funktionierendes Patch-Management ist. Die Lücke in Windows, die sich Conficker zunutze macht, ist bereits seit Oktober 2008 bekannt. Seitdem bietet Microsoft ein Update an, mit dem sich diese Lücke schließen lässt.

Offenkundig haben es viele Netzwerkadministratoren versäumt, den Patch zeitnah einzuspielen. Hier der Link zum Microsoft-Security-Bulletin zur RPC-Lücke.

Ein weitere Faktor, der die Verbreitung von Conficker fördert, sind zu schwache Passwörter für Netzwerkfreigaben und Benutzerkonten. Ein simples Passwort wie »12345« oder »admin« bietet so gut wie keine Sicherheit, was die Schöpfer von Conficker ausnutzen.

Darüberhinaus gibt es in vielen Unternehmen keine festen Richtlinien bezüglich des Einsatzes von Wechseldatenträgern wie USB-Sticks. Diese sind aber einer der Hauptverbreitungswege für Conficker. Der Autostart-Mechanismus ist auf den meisten Rechnern aktiviert und wird nicht nur von Conficker, sondern auch von vielen anderen Schädlingen zur Verbreitung genutzt.

Ein Nachteil, wenn die Autostart-Funktion deaktiviert wird: CDs oder DVDs starten in diesem Fall nicht mehr automatisch, sobald sie ins Laufwerk eingelegt werden. Das ist aber zu verschmerzen.

Einen interessanten Dienst bietet laut Benzmüller die IT-Sicherheitsfirma Open DNS. Der Service erkennt mit Conficker infizierte PCs im Netzwerk und blockiert den Zugang zu den 250 täglich neu generierten Bot-Net-Domains. So bleibt der Zombie-PC zwar infiziert, aber ohne Befehle von seinem »Meister« inaktiv.

Wie man erkennt, ob Conficker installiert ist

Ein Virenschutz mit aktuellen Signaturen, beispielsweise G-Data Antivirus 2009 oder G-Data Antivirus Business, erkennt Conficker und verhindert eine Infektion. Wer jedoch seine Hausaufgaben nicht gemacht hat und systeminterne Hintertüren offen lässt, indem kritische Patches nicht eingespielt werden, wird einige Mühe aufbringen müssen, der Infektion Herr zu werden.

Conficker verwendet zufällige Zeichenfolgen als Dateinamen. Dadurch ist es schwierig, die Dateien zu finden. Er registriert sich als Systemdienst mit zufälligem Namen. Die Registry wird beispielsweise folgendermaßen modifiziert:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services [Zufälliger Name für den Dienst]

Image Path = „%System Root%system32svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services[Zufälliger Name für den Dienst]Parameters

ServiceDll = „[Pfad und Dateiname der Malwaredatei]“

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Windows NTCurrentVersionSvcHost

Dass ein Rechner infiziert ist, erkennt der User daran, dass bestimmte sicherheitsrelevante Dienste nicht mehr funktionieren. Dazu gehören das Windows Security Center, Windows Auto Update, Windows Defender und der Error-Reporting-Service.

Außerdem blockiert Conficker den Zugang zu den Web-Seiten aller führenden Anbieter von Antiviren-Software sowie zu Malware-Informationsportalen. Der Schädling verhindert unter anderem den Zugang zu URLs, die Begriffe, wie »virus«, »spyware«, »microsoft«, »gdata« oder »symantec« enthalten.

1. Praxistipp: Wie man den Internet-Wurm »Conficker« erkennt und wieder los wird
2. Wie man sich schützen kann
3. Indikator für Infektion: Erhöhter Traffic auf Port 445