{"id":54,"date":"2009-02-19T14:31:02","date_gmt":"2009-02-19T13:31:02","guid":{"rendered":"http:\/\/blog.imagmbh.de\/?p=54"},"modified":"2019-01-13T23:12:27","modified_gmt":"2019-01-13T22:12:27","slug":"conficker-in-aller-munde","status":"publish","type":"post","link":"https:\/\/blog.imagmbh.de\/index.php\/conficker-in-aller-munde\/","title":{"rendered":"Conficker in aller Munde"},"content":{"rendered":"

Nachwievor ist der Wurm Conficker in aller Munde. Auf Grund der grossen Verbreitung und der spektakul\u00e4ren Ziele, die er gefunden hat (z.B. Landesregierungen und Krankenh\u00e4user<\/a>, die Bundeswehr<\/a> etc.) und nachdem auch Microsoft ein Kopfgeld<\/a> ausgesetzt hat, seien hier einige Informationen zu dem Wurm, zu seiner Entdeckung, seinen Prinzipien und wie man ihn wieder loswird beschrieben.<\/p>\n

Wie arbeitet der Wurm<\/strong><\/p>\n

Meistens wird der Wurm zwar als  „Conficker“ benannte, er existiert jedoch auch unter den Namen „Kido“ und „Downadup“. Der Wurm nutzt eine alte Sicherheitsl\u00fccke im Windows-Server-Dienst „SVCHOST.EXE“ und nistet sich unter wechselnden Namen als DLL-Datei auf auf den betroffenen Rechnern ein. Zus\u00e4tzlich bindet er sich in die Registry ein um seinen Start zu gew\u00e4hrleisten.<\/p>\n

L\u00e4uft er, so bietet er auf einem beliebigen Port zwischen 1.024 und 10.000 einen Webserver nach au\u00dfen.<\/p>\n

Schon 2003 nutzte „Conficker.A“ eine verwandte Schwachstelle und befiel, W32.Blaster, auch W32.Lovsan oder MSBLAST genannt, in k\u00fcrzester Zeit \u00fcber eine halbe Million PCs.<\/p>\n

Das Interessante an der aktuellen Wurm-Variante ist, dass der Wurm einen Patch, der zum Stopfen der Sicherheitsl\u00fccke ben\u00f6tigt wird, gleich mitbringt. Auf diese Weise verhindert er, das „Konkurrenzw\u00fcrmer“ den Rechner \u00fcber den selben Weg \u00fcbernehmen k\u00f6nnen.<\/p>\n

Der Wurm scheint sich dann eine Liste von bestimmten erreichbaren Internetseiten aufzubauen, um dann \u00fcber diese Seite Code nachzuladen.<\/p>\n

Was soll man tun<\/strong><\/p>\n

Die Sicherheitsl\u00fccke, die Conficker ausnutzt ist auch Microsoft bekannt und Microsoft hat den passenden Patch, um die L\u00fccke zu schlie\u00dfen, im Oktober des letzten Jahres ver\u00f6ffentlicht<\/a>. Weitere Informationen zu dem Patch gibt es auch hier<\/a>. Als erstes sollte also das System abgedichtet werden. Entweder, indem man den einzelnen Patch eispielt oder – besser – das System mittels der Windows-Update-Funktion auf den aktuellen Stand bringt.<\/p>\n

Auch eine Firewall sollte genutzt werden. Weil der Wurm das System auch \u00fcber das Netzwerk angreift und \u00fcber das Netzwerk Code nachl\u00e4dt, sollte der Rechner \u00fcber eine Firewall – hierbei reicht sogar die Windows-eigene Firewall aus – gesch\u00fctzt werden. Im lokalen Netz, wo diese sogenannten Personal-Firwalls h\u00e4ufig auf Grund des notwendigen LAN-Verkehrs viel Arbeit machen, muss nach au\u00dfen hin eine Firewall bestehen. Innerhalb des LANs kann genau dann auf individuelle Firewalls verzichtet werden, wenn sichergestellt ist, dass der Wurm keinen Rechner im LAN befallen kann.  Da der Conficker-Wurm jedoch auch \u00fcber USB-Sticks verbreitet wird, kann dies nicht immer sichergestellt werden. Also sollte man, wenn USB-Sticks im LAN erlaubt sind, sich die M\u00fche der Konfiguration der Personal-Firewalls durchaus machen.<\/p>\n

Schlie\u00dflich ist nat\u00fcrlich ein Virenscanner sinnvoll. Und, man kann es gar nicht genug betonen, ein Virenscanner mit aktuellen Virensuchmustern. Denn alte Virensuchmuster helfen nat\u00fcrlich nur gegen alte Viren.<\/p>\n

Und wenn das Kind schon in den Brunnen gefallen ist?<\/strong><\/p>\n

Wenn das Kind schon in den Brunnen gefallen ist, so muss er entfernt werden. Z. B. bieten Symantec<\/a> und F-Secure<\/a> hier verf\u00fcgbare Hilfsmittel an. Wenn Sie Fragen haben, k\u00f6nnen Sie sich nat\u00fcrlich auch gerne an uns<\/a>, Ihre EDV-Betreuung<\/a>, wenden.
\n