Update: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

14. Jänner 2009

CERT.at Empfehlungen zur Abwehr des Wurms Conficker

Aufgrund des Auftretens des Conficker.B/Downadup Wurms in teilweise kritischen Umgebungen wie Behörden und Spitälern empfiehlt CERT.at dringend die Beachtung der folgenden Hinweise, die unsere Warnung vom 10. Jänner 2009 (http://www.cert.at/warnings/all/20090110.html) ergänzen:

Generell gilt, dass ein Einspielen des Patches zu MS08-067 vom Oktober 2008 keinen ausreichenden Schutz darstellt, da der Wurm auch andere Methoden zur Ausbreitung nutzt.

CERT.at empfiehlt folgende präventive Maßnahmen:

Mittlerweile haben mehrere Hersteller von Antivirensoftware nicht nur ihre Erkennungssoftware aktualisiert, sondern stellen auch Tools zur Entfernung des Wurms zum Download bereit.

Microsoft hat ein Update des "Malicious Software Removal Tools" MSRT publiziert, das auch über Windows Update verteilt wird. Da der Wurm diesen Mechanismus unterbindet empfiehlt CERT.at, dieses Tool von Hand zu laden und zu starten.

Siehe http://www.microsoft.com/austria/security/malwareremove/default.mspx

Das MSRT sollte insbesondere auf private PCs ausgeführt werden, und zwar unabhängig vom Lizenzstatus der Windowsinstallation.

Falls Ihr Firmennetz betroffen ist:

  • Deaktivieren Sie die automatische Benutzerkontensperre bei Login-Fehlversuchen, um das Aussperren von Benutzern zu verhindern.
  • Loggen Sie sich auf keinen Fall als Domain Administrator auf einem infizierten PC ein, da der Wurm dann Ihre Credentials zur Ausbreitung nutzen kann.
  • Scheuen Sie sich nicht, den Hersteller ihres Antivirenproduktes zu kontaktieren und um Hilfe zu bitten. Die Entwurmung von größeren Netzen ist nicht trivial.
  • Betreiber von kritischer Infrastruktur können sich bei Bedarf auch an CERT.at wenden; wir können Experten vermitteln.

Allgemeine Lage in Österreich

Die finnische Security-Firma F-Secure hat den Algorithmus geknackt, nach dem der Wurm die Domains berechnet, von denen er weiteren Code nachlädt. Diese Liste ist auf http://www.f-secure.com/weblog/archives/00001578.html verfügbar. Mit Hilfe dieser Liste können Systemverwalter a) das Nachladen von Schadcode verhindern, und b) Infektionen innerhalb des eigenen Netzes schnell erkennen.

F-Secure hatte am Wochenende einige der berechneten Domain selber registriert und so gesehen, von welchen IP-Adressen aus infizierte PCs Software nachladen wollten. Siehe http://www.f-secure.com/weblog/archives/00001579.html

Die Zahlen belegen, dass es sich um ein globales Phänomen handelt, und nicht um eine auf österreich (oder gar auf Kärnten) gerichtete Kampagne.

Symantec hat vergleichbares für die Conficker.A Variante gemacht und die Windows-Versionen aufgeschlüsselt. Siehe https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/224 und https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/225

Nach den vorliegenden Informationen enthält der Wurm aktuell keine direkten Schadensroutinen, sondern versucht weiteren Code nachzuladen. Es ist derzeit nirgendwo publiziert, was da eigentlich nachgeladen wird, primär weil die Webadressen, die probiert werden, schlicht (noch) nichts liefern.

Für die Schreiber des Wurms ist es damit möglich, zeitgesteuert beliebigen Code nachladen zu lassen. Was dieser dann tun wird, kann nicht vorhergesagt werden.

Informationsquelle(n):

Technet
http://blogs.technet.com/kfalde/archive/2009/01/08/malware-win32-conficker-b-w32-downadup-b.aspx
Technet
http://blogs.technet.com/rhalbheer/archive/2009/01/13/additional-information-on-conficker-msrt-removing-conficker.aspx
Technet
http://blogs.technet.com/gerhardg/archive/2009/01/14/entfernen-von-conficker-b.aspx
F-Secure
http://www.f-secure.com/weblog/archives/00001580.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml