Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Praxistipp: Wie man den Internet-Wurm »Conficker« erkennt und wieder los wird

Internet-Sicherheit: Wurm »Conficker«

Praxistipp: Wie man den Internet-Wurm »Conficker« erkennt und wieder los wird

17. Februar 2009, 14:00 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 2

Indikator für Infektion: Erhöhter Traffic auf Port 445

Microsofts Malware Protection Center hat eine Anleitung zusammengestellt, mit der sich Conficker von Hand von infizierten Rechnern entfernen lässt.
Microsofts Malware Protection Center hat eine Anleitung zusammengestellt, mit der sich Conficker von Hand von infizierten Rechnern entfernen lässt.

Netzwerkadministratoren erkennen infizierte Rechner an einer Zunahme des Datenverkehrs, der über Port 445 läuft. Nach der Infektion ermittelt Conficker die IP-Adresse des infizierten Rechners, indem er eine der folgenden Seiten aufruft:

http://checkip.dyndns.org

http://getmyip.co.uk

http://www.getmyip.org

Anhand des Datums von folgenden Domains werden die variablen Update-Adressen berechnet: ask.com, baidu.com, google.com, msn.com, www.w3.org und yahoo.com. Rechner, die auf diese Domains zugreifen, könnten somit von dem Schädling befallen sein.

Einen umfassenden Leitfaden zur manuellen Desinfektion verseuchter Systeme hat Microsoft zusammengestellt. Hier der Link zur entsprechenden Web-Seite.

Da der Schädling komplex aufgebaut ist und an vielen Stellen gleichzeitig das befallene System angreift, kann eine Bereinigung von Hand mühsam und zeitraubend sein. G-Data empfiehlt daher, die Entfernungsroutinen der installierten Antiviren-Software zu verwenden.

Alternativ dazu können Anwender die aktuelle Version von Microsofts »Malicious Software Removal Tool« (MSRT, Tool zum Entfernen Bösartiger Software) einsetzen.

Das MSRT wird auf Windows-Systeme automatisch heruntergeladen, wenn der Nutzer die Auto-Update-Funktion aktiviert hat. Die Software kann jedoch auch manuell installiert werden. Die aktuelle Ausgabe vom 12. Februar (KB890830) stellt Microsoft in seinem Software-Download-Bereich zur Verfügung. Hier der Link zum Microsoft-Windows-Tool zum Entfernen bösartiger Software.

Da MSRT seine Arbeit im Hintergrund verrichtet, ist es für Nutzer nicht unmittelbar erkennbar, ob das Tool aktiviert wurde. Überprüfen lässt sich das, indem der User in der Registry nach dem entsprechenden Eintrag sucht.

Dazu im Windows-Startmenü unter »Ausführen« (deutsche Windows-Version) beziehungsweise »Run« (englisches Betriebssystem) »regedit.exe« eingeben und damit den Registrierungseditor starten.

In der Registry müsste sich dann folgender Eintrag finden:

HKEY_Local_MachineSoftwareMicrosoftRemovalToolsMRT

  1. Praxistipp: Wie man den Internet-Wurm »Conficker« erkennt und wieder los wird
  2. Wie man sich schützen kann
  3. Indikator für Infektion: Erhöhter Traffic auf Port 445
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
G DATA CyberDefense AG

G DATA CyberDefense AG
Xelion GmbH

Xelion GmbH
nexspace data centers GmbH

nexspace data centers GmbH
HP Deutschland GmbH

HP Deutschland GmbH
Plusnet GmbH

Plusnet GmbH