Conficker - Wie konnte es zum Gau kommen?

Automatische Verbreitung

Conficker nutzt eine Sicherheitslücke im RPC-Dienst von Windows (MS08-067), um sich automatisch zu verbreiten. Diese Lücke wurde von Microsoft bereits im Oktober 2008 geschlossen. Durch das Aufspielen des Patchs hätte der Gau in manchen Netzwerken vermieden werden können. Einmal im Netzwerk angelangt sucht Conficker nach Freigaben - auch per Passwort geschützte. Mit einer Liste einfachster Passwörter (z.B. test123, password, abcd1234, 1234qwer,admin) verschafft er sich Zugang. Solche Passwörter bieten keinerlei Sicherheit und Conficker nutzt das gnadenlos aus.

Einfallstor Wechseldatenträger

Wechseldatenträgern - wie z. B. USB-Sticks - stellen einen der Hauptverbreitungswege für Conficker dar. Der Autostart-Mechanismus ist auf den meisten Rechnern aktiviert und wird nicht nur von Conficker sondern auch von vielen anderen Schädlingen zur Verbreitung genutzt. Das Abschalten des Autostart-Mechanismus gestaltet sich nicht trivial und ist erst nach Einspielen eines speziellen Microsoft-Updates überhaupt wirksam.

Wie kann man Conficker wieder entfernen?

Die Entfernung von Conficker wird durch die aktuellen Virenschutz-Programme bewerkstelligt. Die manuelle Bereinigung kann sich sehr mühsam gestalten. Ein umfassender Leitfaden zur manuellen Desinfektion verseuchter Systeme ist bei Microsoft erhältlich.

Einen interessanten Dienst bietet OpenDNS. Die neueste Version von Conficker berechnet täglich mehrere Tausend Domainnamen und verbindet sich mit einzelnen davon. OpenDNS bietet Blocklisten, die den Zugang zu diesen Domains unterbinden. So bleibt der Zombie-PC zwar infiziert - aber ohne Befehle des Täters auch inaktiv.

www.gdata.at