17.07.2013 17:00

Status zu Conficker und 1. April 2009

31. März 2009

Anlässlich der Aufmerksamkeit, die das Thema Conficker/Downadup und 1. April momentan in den Medien erfährt, hat CERT.at hier die wichtigsten Fragen&Antworten zusammengefasst.

Was passiert am 1. April 2009?

Basierend auf verschiedenen technischen Analysen wurde herausgefunden, dass Systeme, die mit dem aktuellen Conficker-Wurm infiziert sind, versuchen werden, über einen neuen Algorithmus Code aus dem Internet nachzuladen. Bisher wurden keine anderen Hinweise auf Aktivitäten des Wurms, die den 1. April betreffen, gefunden.

Wird es am 1. April 2009 eine neue Version des Conficker-Wurms geben?

Es ist durchaus möglich, dass Systeme, die vom aktuellen Conficker-Wurm befallen sind, am 1. April neuen Code über den neuen Domainnamen-Algorithmus nachladen werden. Diese Systeme konnten aber auch schon bisher über eine Peer-to-Peer - Methode von den Wurm-Autoren mit neuem Code versorgt werden.

Sollte die Öffentlichkeit besorgt sein?

Nein, die Öffentlichkeit sollte nicht besorgt sein. Die meisten Privatbenutzer sind bereits durch die automatische Installation des Microsoft-Patches MS08-067 vor dem Wurm geschützt.

Wie kann ich herausfinden, ob mein PC befallen ist, und was soll ich dann tun?

Unter http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools (englisch) befindet sich eine Liste an Tools, mit denen befallene Systeme erkannt und gegebenenfalls gesäubert werden können.
Auch Microsoft bietet via http://safety.live.com/ Möglichkeiten zur Analyse/Entfernung.

Diese Seiten sind aber gerade von befallenen Systemem aus oft nicht erreichbar.

Ist das Entfernungs-Tool XYZ geeignet, um befallene Systeme zu erkennen und zu reparieren?

Wir warnen ausdrücklich vor sogenannten "Trittbrettfahrern", die momentan versuchen, mit falschen Entfernungs-Tools noch mehr PCs unter ihre Kontrolle zu bringen, und ersuchen, nur die von der Conficker Working Group oder anderen seriösen Institutionen empfohlenen Entfernungs-Tools zu verwenden.

Empfehlungen

Wir empfehlen, dass Benutzer, die automatische Updates noch nicht aktiviert haben, dies tun, und sicherstellen, dass die installierte Sicherheitssoftware (Firewall, Anti-Viren-Software) immer auf aktuellem Stand ist, vgl. auch http://www.microsoft.com/germany/athome/security/viruses/conficker.mspx.

Firmen wird empfohlen, sicherzustellen, dass der Microsoft-Patch MS08-067 auf allen System installiert ist, von Conficker (egal welcher Version) befallene Systeme zu säubern, die Signaturen der Anti-Viren-Software aktuell zu halten und zusätzliche Sicherheitsmassnahmen - wie zB von Microsoft in http://technet.microsoft.com/de-de/security/dd452420(en-us).aspx (englisch) vorgeschlagen - zu evaluieren.


Informationsquelle(n):

Wikipedia-Eintrag zu Conficker
http://de.wikipedia.org/wiki/Conficker
Liste von Repair Tools (englisch)
http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools