Conficker: Wie gefährlich der Wurm wirklich ist und wie Sie sich schützen

Der Wurm Conficker wird zum echten Problem: Er hat nicht nur Rechner der Bundeswehr befallen, sondern auch die Kärntener Landesregierung und die französische Marine haben Probleme mit dem Fiesling. Sogar Microsoft ist der Wurm jetzt 250.000 US-Dollar wert - vorausgesetzt, Sie können Hinweise zum Autor von Conficker geben. Trotz der vielen Meldungen über Conficker, ist der Wurm auch nur ein Stück Software, das man mit den richtigen Maßnahmen bekämpfen kann. Wir haben uns mit den großen Sicherheitsfirmen Avira, Eset, Symantec, G-Data und Panda-Software über den Schädling Conficker unterhalten.

Wie gefährlich ist Conficker wirklich?
Conficker ist zur aktuellen Berühmtheit gelangt, da er sich geschickt über eine Sicherheitslücke in Windows, die bereits vor Monaten durch Microsoft geschlossen wurde, sowie per Netzwerk und über USB-Datenträger verbreitet. Gerade die letztgenannte Verbreitungsmethode macht es Conficker sehr leicht, da USB-Sticks von fast jedem und vor allem überall - daheim und im Büro - genutzt werden.

Candid Wüest (Symantec Threat Researcher) über die Gefahren durch Conficker: "Zum Beispiel schaltet er automatische Back-up-Services ab oder verhindert die Verbindung zu Sicherheitssoftware-Herstellern und damit die Aktualisierung so mancher Sicherheitssoftware. Die Verbreitungsroutine selbst kann sogar Benutzerkonten sperren - aufgrund zu vieler falscher Logins. Zusätzlich kann weiterer Schadcode nachgeladen werden." Während Symantec nicht genauer wird, geht G-Data von einem möglichen Bot-Netzwerk aus: "Die derzeitige Infektionswelle deutet darauf hin, dass die Urheber des Conficker-Wurmes das Fundament für eine neue Generation von Bot-Netzen legen", erklärt uns Ralf Benzmüller (Leiter G-Data Security Labs). Dirk Knop (Technischer Redakteur bei Avira) geht hingegen von einem anderen Zweck aus: "Durch das Nachladen weiterer Komponenten können die Schädlingsbastler nahezu beliebige Funktionen nachrüsten, beispielsweise zum Ausspähen von Tastatureingaben oder zum Mitschneiden von Login-Daten und Manipulationen von Transaktionen beim Online-Banking."

Wie viele Rechner sind mit Conficker infiziert?
Avira geht von mehr als 1,5 Millionen befallenen Rechnern aus. Symantec schätzt die Zahl auf ca. 4 Millionen PCs, schränkt aber ein, dass einige der Rechner schon wieder gesäubert sein könnten. Die restlichen befragten Unternehmen halten sich mit Schätzungen zurück, dass es aber keine 50 Millionen befallene Rechner sind, darüber sind sich alle einig.

Wie kann man sich vor Conficker schützen?
Einstimmig wird zunächst das von Microsoft bereitgestellte Update Security Bulletin MS08-067 empfohlen. Zudem sollten Sie einen aktuellen Virenscanner nutzen. Damit Conficker nicht per USB-Laufwerk kommt, empfiehlt Symantec: "Auch sollte man die Funktion Autorun abschalten, welche automatisch Programme ausführt, die zum Beispiel auf USB-Sticks gespeichert sind." Michael Klatte (Klatte Media im Auftrag von Eset) fügt noch hinzu: "Entfernen Sie den Schlüssel HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 vor dem Neustart des Systems. Anderenfalls nutzen bereits zuvor verwendete USB-Geräte weiterhin die Autorun-Funktion."

Wie erkennt man, ob Conficker installiert ist?
Den Befall mit dem Conficker-Wurm erkennen Sie daran, dass keine Updates für die Antivirenlösung und Windows mehr möglich sind. Auch den Aufruf etwa von www.microsoft.com blockiert der Schädling. G-Data weist zudem darauf hin, dass Conficker zufällige Zeichenfolgen als Dateinamen verwendet. Dadurch wird es schwierig, die Dateien zu finden. Er registriert sich als Systemdienst mit zufälligem Namen. Netzwerkadministratoren erkennen infizierte Rechner am erhöhten Traffic auf Port 445. An diesen Stellen wird die Registry modifiziert:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [Zufälliger Name für den Dienst] Image Path = "%System Root%\system32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Zufälliger Name für den Dienst]\ParametersServiceDll = "[Pfad und Dateiname der Malwaredatei]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

Wie kann man Conficker wieder entfernen?
Die Empfehlungen der Sicherheitsexperten gehen auseinander. Während Heiko Brückle (Direktor Training & Consulting Panda Security) einen Onlinescan mit ActiveScan empfiehlt, befürwortet Avira den Einsatz einer Rescue-CD: "Es gibt sie in zwei Ausführungen: Einmal als .iso-Datei zum Wegbrennen mit bereits vorhandener CD-Brennsoftware und einmal als ausführbare Datei, die ein kleines Brennprogramm mitbringt. Die gebrannte Rescue-CD müssen Anwender in das CD-Laufwerk einlegen und den Rechner neu starten. Dadurch startet ein minimales Linux-System von der CD, das den Avira-Virenscanner mit einer einfachen grafischen Oberfläche bereitstellt. Damit gelingt dann die Untersuchung des Rechners und die Entfernung von Conficker. Danach sind noch weitere Reparaturen am System empfehlenswert, da Conficker einige Registry-Einträge verbiegt und so etwa den Aufruf des abgesicherten Modus von Windows verhindert."

Folgende Tools stehen zum Entfernen von Conficker bereit:
Microsoft Tool zum Entfernen Bösartiger Software
Symantec Entfernungstool für Downadup (anderer Name für Conficker)
Eset Desinfektionsroutine

Zum Thema Sicherheit:
• Conficker-Wurm mutiert und zeigt sich vielseitig - Update: Ausbruch zum 1. April erwartet
• Conficker: Microsoft setzt hohes Kopfgeld auf Wurm-Entwickler aus
• Conficker-Wurm greift Bundeswehr-PCs an