Conficker A, B and C

Siehe auch Windows à jour halten !
Siehe auch Desinfektion nach virenbefall für hartnäckige fälle.

Conficker wird am 1. april 2009 aufwachen und zuschlagen

Nicht gefährdet sind all jene benutzer, die ihr Windows system "Automatisch aktualisieren" lasssen. Die notwendigen Systemänderungen wurden längst durchgeführt und das jeden monat aktualisierte "Windows werkzeug zur entfernung von boshafter software" (oder so ähnlich auf deutsch) hat den virus entfernt.

Gefährdet sind Windows-Systeme, deren Netzwerk nur mit einem schwachen Passwort-Schutz versehen ist. Die die aktuellen Sicherheits-Updates nicht empfangen haben. Deren Virenscanner und Update-Funktionen bereits durch den Wurm außer Gefecht gesetzt wurden. Dazu Einzelplatzrechner, deren freigegebene Ordner/Laufwerke nicht gesichert sind. Arbeitsplatzrechner mit schwachem Passwortschutz, aktivierter Autorun-Funktion, ungesicherten freigegebenen Verzeichnissen und bereits verseuchter Virensoftware.

Wie die autorun-funktion abgeschaltet werden kann, sehen Sie in diesem PDF.

Die gefahr:

[oe24.at, Hamburg , 24. Februar 2009] Der hartnäckige Computerwurm Conficker hat nach Medienberichten neue Wege gefunden, Computer weltweit zu infizieren. Sicherheitsexperten des kalifornischen Forschungsinstituts SRI International hätten inzwischen eine neue und flexiblere Variante des Schädlings entdeckt, berichtete die "New York Times". Der Wurm ist seit einigen Monaten im weltweiten Datennetz unterwegs und hat vermutlich bereits einige Millionen Rechner infiziert. Zu den Betroffenen zählten zuletzt Medienhäuser, öffentliche Einrichtungen, die deutsche Bundeswehr sowie die Landesregierung in Kärnten.

Virus schwer zu entfernen: Mit der neuen Version "Conficker B++" versuchten die kriminellen Programmierer, weitere PCs zu infizieren und sie anschließend ferngesteuert zu einem Netz (Botnet) zu verbinden, schreibt die Zeitung. Die "B++"-Variante könne zudem über eine Hintertür beliebige Programme nachladen und neue Versionen einschleusen, berichtet das Computer-Fachmagazin "heise online". Conficker kann sich auch über externe Speichermedien oder USB-Sticks verbreiten und ist verglichen mit anderen Computer-Schädlingen äußerst schwer wieder zu entfernen. Über die genauen Absichten der Attacken herrscht weiterhin Unklarheit.

Nach der meinung vieler wird der wurm/virus dazu benutzt, sogenannte bot-netze aufzubauen. Siehe dazu den Wikipedia-artikel.

Achtung

Der wurm ist sehr gefährlich, da er die sicherheitsfunktionen des betriebssystems aushebelt (automatischer update, Windows Security Center, Error Reporting etc.) und sich selbst bei servern für updates anmeldet. Daher kann er sich selbst mit "neuen waffen ausstatten". Siehe den Wikipedia-artikel. Gemäss viruslist.com wird auch der zugang zu verschiedensten sites (zb …msn… nod32, microsoft, defender) verhindert.

Falls ein computer infiziert ist, kann das "Windows Malicious Software Removal Tool" (Windows werkzeug zur entfernung von boshafter software) von http://support.microsoft.com/kb/890830 herunter geladen werden. Diese webseite sollte sich auf die browser sprache einstellen.
Der download ist nicht möglich von einem infizierten rechner aus (siehe vorherigen absatz).

Abhilfe

Die schädliche Software nutzt eine Lücke im Betriebssystem Windows aus, für die Microsoft allerdings bereits im Oktober 2008 ein Sicherheitsprogramm (Patch) zum Schließen veröffentlicht hat. Microsoft hatte anfang Februar 2009 ein Preisgeld von 250.000 Dollar für Informationen ausgelobt, die zur Ergreifung der Schädlings-Programmierer führen.

[Heise Online 13.03.2009 13:51] Eine Reihe von Antiviren-Software-Herstellern bietet inzwischen eigenständige Tools zum Entfernen des Conficker-Wurms an, darunter Symantec, F-Secure und Bitdefender. Diese Programme erfordern keine Installation der Antiviren-Lösung; man kann sie beispielsweise auf einen USB-Stick kopieren und von dort aus dann auf dem infizierten Rechner starten. Leider sagt keiner der Hersteller, welche Variante(n) entfernt werden.

Links zu den tools bei Heise Online.