Nachwievor ist der Wurm Conficker in aller Munde. Auf Grund der grossen Verbreitung und der spektakulären Ziele, die er gefunden hat (z.B. Landesregierungen und Krankenhäuser, die Bundeswehr etc.) und nachdem auch Microsoft ein Kopfgeld ausgesetzt hat, seien hier einige Informationen zu dem Wurm, zu seiner Entdeckung, seinen Prinzipien und wie man ihn wieder loswird beschrieben.

Wie arbeitet der Wurm

Meistens wird der Wurm zwar als  „Conficker“ benannte, er existiert jedoch auch unter den Namen „Kido“ und „Downadup“. Der Wurm nutzt eine alte Sicherheitslücke im Windows-Server-Dienst „SVCHOST.EXE“ und nistet sich unter wechselnden Namen als DLL-Datei auf auf den betroffenen Rechnern ein. Zusätzlich bindet er sich in die Registry ein um seinen Start zu gewährleisten.

Läuft er, so bietet er auf einem beliebigen Port zwischen 1.024 und 10.000 einen Webserver nach außen.

Schon 2003 nutzte „Conficker.A“ eine verwandte Schwachstelle und befiel, W32.Blaster, auch W32.Lovsan oder MSBLAST genannt, in kürzester Zeit über eine halbe Million PCs.

Das Interessante an der aktuellen Wurm-Variante ist, dass der Wurm einen Patch, der zum Stopfen der Sicherheitslücke benötigt wird, gleich mitbringt. Auf diese Weise verhindert er, das „Konkurrenzwürmer“ den Rechner über den selben Weg übernehmen können.

Der Wurm scheint sich dann eine Liste von bestimmten erreichbaren Internetseiten aufzubauen, um dann über diese Seite Code nachzuladen.

Was soll man tun

Die Sicherheitslücke, die Conficker ausnutzt ist auch Microsoft bekannt und Microsoft hat den passenden Patch, um die Lücke zu schließen, im Oktober des letzten Jahres veröffentlicht. Weitere Informationen zu dem Patch gibt es auch hier. Als erstes sollte also das System abgedichtet werden. Entweder, indem man den einzelnen Patch eispielt oder – besser – das System mittels der Windows-Update-Funktion auf den aktuellen Stand bringt.

Auch eine Firewall sollte genutzt werden. Weil der Wurm das System auch über das Netzwerk angreift und über das Netzwerk Code nachlädt, sollte der Rechner über eine Firewall – hierbei reicht sogar die Windows-eigene Firewall aus – geschützt werden. Im lokalen Netz, wo diese sogenannten Personal-Firwalls häufig auf Grund des notwendigen LAN-Verkehrs viel Arbeit machen, muss nach außen hin eine Firewall bestehen. Innerhalb des LANs kann genau dann auf individuelle Firewalls verzichtet werden, wenn sichergestellt ist, dass der Wurm keinen Rechner im LAN befallen kann.  Da der Conficker-Wurm jedoch auch über USB-Sticks verbreitet wird, kann dies nicht immer sichergestellt werden. Also sollte man, wenn USB-Sticks im LAN erlaubt sind, sich die Mühe der Konfiguration der Personal-Firewalls durchaus machen.

Schließlich ist natürlich ein Virenscanner sinnvoll. Und, man kann es gar nicht genug betonen, ein Virenscanner mit aktuellen Virensuchmustern. Denn alte Virensuchmuster helfen natürlich nur gegen alte Viren.

Und wenn das Kind schon in den Brunnen gefallen ist?

Wenn das Kind schon in den Brunnen gefallen ist, so muss er entfernt werden. Z. B. bieten Symantec und F-Secure hier verfügbare Hilfsmittel an. Wenn Sie Fragen haben, können Sie sich natürlich auch gerne an uns, Ihre EDV-Betreuung, wenden.