Freigeben über

Entfernen von Conficker.B

  • Artikel

Gestern habe ich vom Worm:Win32/Conficker.B geschrieben. Einen Wurm, der eine Schwachstelle angreift, welche Ende Oktober durch eine außerplanmäßige Sicherheits-Aktualisierung geschlossen wurde.

Obwohl die dahinterliegende Schwachstelle von Anfang an angegriffen wurde, und durch einen ersten Wurm nur wenige Wochen später Neuerlicher Alarm zur außerplanmäßigen Sicherheitsaktualisierung MS08-67 gegeben werden musste, hat erst die aktuelle Variante des Wurms es geschafft sich in einigen Kunden Netzwerken einzunisten. Manchmal waren ungenügend aktualisierte Computer der Auslöser, manchmal Antivirensoftware, die Ihrer Aufgabe nur mangelhaft nachkam. Nicht alle Antiviren Pakete konnten so wie Windows Live OneCare als auch Microsoft Forefront von Anfang an die diversen Varianten von Win32/Conficker erkennen.

Was aber, wenn man nun zu den Unglücklichen gehört, die sich Worm:Win32/Conficker.B eingefangen haben? An sich ist die Antwort ganz simpel (Aktualisierung: tiefergreifende Checklisten gibt es im Post: technische Anleitung zum Entfernen von Conficker.B):

  1. Einspielen der außerplanmäßigen Sicherheits-Aktualisierung MS08-67
    Aktualisierung: Für technisch weniger interessierte, die einfach nur die Sicherheits-Aktualisierung herunterladen wollen: Dringendes Sicherheitsupdate von Microsoft für Oktober 2008
  2. System mit einem entsprechenden Werkzeug säubern.

Aber welche Werkzeuge eignen sich zum Säubern des Computers?

Also am schnellsten anzuwenden ist wahrscheinlich das MSRT (Malicious Software Removal Tool, Werkzeug zum Entfernen von Schadsoftware). Aktualisierung: Für Unternehmenskunden gibt der Knowledge Base Artikel 891716 Anleitungen zum Einsatz des MSRT in Unternehmens Netzwerken

Was genau ist das Werkzeug zum Entfernen von Schadsoftware?  

Das Microsoft Windows-Tool zum Entfernen bösartiger Software dient zur Überprüfung von Computern mit Windows Vista, Windows XP, Windows 2000 und Windows Server 2003 auf Infektionen mit bestimmter, weit verbreiteter schädlicher Software (z. B. Blaster, Sasser oder Mydoom, oder eben jetzt Conficker). Falls möglich, wird die schädliche Software entfernt. Nach Abschluss des Überprüfungs- und Entfernungsprozesses wird ein Bericht mit den Ergebnissen einschließlich der gegebenenfalls ermittelten und entfernten schädlichen Software angezeigt.

Microsoft gibt jeden zweiten Dienstag des Monats und eine aktualisierte Version dieses Tools heraus. Genau das ist auch gestern am Abend erfolgt. Und bei dieser Gelegenheit wurde auch das Erkennen und Entfernen von Conficker eingebaut.

Wird das Werkzeug zum Entfernen von Schadsoftware automatisch auf meinem Computer ausgeführt?  

An sich würde das MSRT im Zuge der automatischen Aktualisierungen gleich mit ausgeführt werden. ABER: Worm:Win32/Conficker.B schaltet auf den befallenen Computern eben diese automatische Aktualisierung aus. Daher muss das Entfernen zuerst einmal durch manuelles Starten des MSRT erfolgen. Danach sollte man auch die Funktion des automatischen Aktualisierens wieder einschalten.

Genauso gut aber eignet sich auch zum Beispiel der kostenlose Windows Live OneCare Safety Scanner. Oder jegliche aktuelle Anti Viren Software, wie Windows Live OneCare als auch Microsoft Forefront die in der Lage ist Conficker.B zu erkennen und zu entfernen.

Wo bekomme ich weitere Informationen und Hilfestellung?

Weitere technische Erklärungen zum MSRT aber auch zum Aufbau von Conficker finden sich im Blog des MMPC (Microsoft Malware Protection Center): MSRT Released Today Addressing Conficker and Banload sowie im Blog meines Kollegen Roger Halbheer: Additional Information on Conficker – MSRT removing Conficker

Für Privatkunden bietet Microsoft zudem kostenlose Unterstützung zu viren- und sicherheitsrelevanten Supportfragen. Unter der Telefonnummer 0800 - 0123 345 ist diese Unterstützung aus ganz Österreich kostenfrei von Montag bis Freitag von 8-18 Uhr und Samstag von 9-17 Uhr verfügbar.

Schlussendlich lässt sich auch hier wieder einmal nur die Wichtigkeit der grundsätzlichen Sicherheits-Einstellungen betonen:

  • Firewall aktivieren
  • Automatische Aktualisierungen aktivieren (oder ähnliche Mechanismen wie Windows Updates Server in Unternehmens Umgebungen)
  • und klarerweise der Einsatz von aktueller Antivirensoftware

Comments

  • Anonymous
    January 01, 2003
    Also da muß ich jetzt als ex XP-User mehr als nur dazwischen funken! @BennyFaME: Nicht was vergessen?? Wie siehts denn mit Sicherheits-Updates aus?? @Thomas: Die Lücken die Conficker ausnutzt sind eigentlich schon längst geschloßen! Das waren die gleichen wie bei W32.Blaster von 2003! Hast du die automatischen Updates nicht aktiviert? Bist doch dann selber Schuld für die Menge Arbeit! Solchen einen Idiotischen Admin würde ich ziemlich schnell vor die Tür setzten! Mike

  • Anonymous
    January 01, 2003
    Letzte Woche habe ich mit Entfernen von Conficker.B eine Kurzanleitung gepostet, wie man Conficker.B

  • Anonymous
    January 15, 2009
    danke für den hinweis. hat mir sehr weitergeholfen -:)

  • Anonymous
    January 15, 2009
    Hallo, ich finde diesen Beitrag ein Frechheit! Ich habe die letzte Woche bei einem unserer Kunden mehrere Stunden verbracht (76 um genau zu sein). Es handelte sich genau um diesen Wurm. Ein MS Call war Montag, den 05.01.09 offen. Ende vom Lied: zu 90% der Conficker.b. So die Aussage. Ein "Gegenmittel" gab es von MS Seite leider nicht. "Bitte wenden Sie sich an Ihren AntiVirus Hersteller". Ein Scannen mit MSRT oder mit dem Windows Live OneCare Safety Scanner brachte kein Ergebnis. Der Virus wurde Montags nicht einmal erkannt!!! Geschweige denn bekämpft! Dieses Problem hatte jedoch nicht nur MS sondern auch alle anderen AntiViren Hersteller. Ab Mittwoch gab es Signaturen welche den Wurm erkannten und auch mehr oder weniger gut bekämpften. Für Antworten auf meinen post bin ich unter thomas.koch@yahoo.de zu erreichen. Gruß Thomas

  • Anonymous
    January 16, 2009
    Hallo, dieser Artikel ist keine Frechheit, sondern bündelt die gewonnenen Informationen der letzten Tage ganz gut. Ich habe mich in den letzten Tagen intensiv mit dem Thema auseinander setzen müssen, und kann daher sagen, das z.B. das MSRT erst am Dienstag die geeigneten Signaturen hatte. Tool anderer Hersteller wie F-Secure fanden zwar den Conficker.B, entfernten diesen aber nicht wirkungsvoll.

  • Anonymous
    January 16, 2009
    Da letzte Woche Dienstag in einigen Bundesländern Feiertag war wurde der MS Call an den 24h Support weitergereicht. Dieser erzählte uns Dienstag Abend das wir uns an unseren AntiViren Hersteller wenden sollen weil eben MSRT den Virus nicht erkennt bzw. erkannt hat! Gruß

  • Anonymous
    January 16, 2009
    The comment has been removed

  • Anonymous
    January 17, 2009
    The comment has been removed

  • Anonymous
    January 17, 2009
    Hallo, da ist was wahres dran. Mit einer unbeaufsichtigten Fertiginstallation waere man (wenn man nur von 4 verfuegbaren DVD ausgeht) mit der Neuinstallation (incl. Zusatzprogramme, wenn das ein Bestandskunde ist) der 40 WSes binnen 6 Stunden fertig (gehen wir von sogar 30 Minuten / WS / DVD aus + 1 Stunde als Pufferzeit). Haett´ jett :-) Gruss, SL

  • Anonymous
    January 18, 2009
    The comment has been removed

  • Anonymous
    January 19, 2009
    Ich habe bei der entfernung von Viren gute Erfahrungen mit der Windows-Systemwiederherstellung gemacht. Geht deutlich schneller als mit dem Virenscanner und funktioniert auch zuverlässiger! Vorrausetzung ist natürlich das die Infektion noch nicht allzu lange zurückliegt und das anschließend alle neueren Updates wieder eingespielt werden...

  • Anonymous
    January 20, 2009
    Eben das teuflische an diesem Wurm ist, dass er die Systemwiederherstellungen löscht.

  • Anonymous
    January 21, 2009
    Hallo, @KaeferKarl: Danke für deinen Beitrag. Was machst du eigentlich auf einem TechnetBlog? @kruxo: Danke Eine Neuinstallation war nicht möglich. Die PCs mussten auf jeden Fall ihre aktuelle Konfiguation behalten. Auserdem waren es über 200 Clients in 24 Standorten. Dazu kommt, dass das Problem bei mir am 05.01. auftauchte, also ziemlich am Anfang. Das erschwerte denke ich die Arbeit enorm.

  • Anonymous
    January 22, 2009
    hilfe ist doch so einfach http://sashland.de/portal/2009/01/20/symantec-removal-tool-fur-w32downadup/

  • Anonymous
    January 23, 2009
    Hilfe ist doch so einfach... use Linux gib winficker keine Chance ;)

  • Anonymous
    January 23, 2009
    Linux is like a tipi: no windows, no problems.

  • Anonymous
    January 25, 2009
    Witzig ! hilfe ist doch so einfach http://sashland.de/portal/2009/01/20/symantec-removal-tool-fur-w32downadup/ Mach das einal mit infiziertem Rechner. Weis keiner Hilfe für Otto Normaluser? mfg Alois

  • Anonymous
    March 31, 2009
    Hi, Ich würde einfach nur mit der Testversion von G-Data ein Durchlauf machen und conficker dann damit löschen!!!

  • Anonymous
    April 20, 2009
    The comment has been removed