Seit ca. 30 Dezember 2008 wütet ein neuer, bösartiger Wurm (Malware) in div. Schweizer Firmen- und öffentlichen Verwaltungsnetzwerken. Verursacht wird dies durch den Win32/Conficker und dem nicht einspielen des ende Oktober 2008 ausserordentlich ausgerollten Microsoft Patch KB 958644 (MS08-067). Firmen, die diesen Patch bis jetzt nicht ausgerollt haben, handeln sozusagen fahrlässig.
Der Wurm nützt eine Schwachstelle im Windows Server service (SVCHOST.EXE) aus. Die Verbreitung erfolgt über das Netzwerk. Kann der schadhafte Code auf dem Zielsystem ausgeführt werden, erfolgt ein cleverer Installationsablauf, der das Entfernen des Wurms nahezu unmöglich machte. Seit ca. Mitte Januar 2009 haben einige Antivirenhersteller die Signaturen soweit angepasst, dass diese den Wurm anzeigen können. Inwieweit eine erfolgreiche Isolation direkt klappt, ist uns nicht bekannt. Entfernt werden kann der Conficker mittels den Removal Tools verschiedener Antivirenhersteller.
Verschiedene Firmen wie Microsoft, Ciso, F-Secure, Kaspersky, usw. haben sich zu einer „Conficker Working Group“ zusammengeschlossen. Zudem ist es einer kleinen Gruppe gelungen, ein Scanner zu entwickeln, der über den Port 445 das Netzwerk scannen kann und aufgrund des Rückgabewerts feststellen kann, ob ein Rechner infiziert ist oder nicht. Diese Funktion wird in absehbarer Zeit auch in nmap, nessus, usw. implementiert.
Firmen, die das Lockout, nach gewissen Anzahl Falschanmeldungen, aktiviert haben, werden die Ausbreitung des Wurms am schnellsten feststellen. Der Wurm sucht nach schwachen Administratoren Passwörtern und generiert so eine Flut von Anfragen an den Domain Controllern. Dies ist zudem auch im Security Eventlog auf dem Domain Controller sichtbar.
Gefährdet sind alle Firmen, die nicht über einen top aktuellen Virenscanner verfügen und den erwähnten Patch nicht ausgerollt haben. Das Risiko erhöht sich dadurch, dass sich der Wurm auch über Wechseldatenträger verbreiten kann. Wir stellen nach wie vor fest, dass es Firmen gibt, die keine aktive Firewall beim Laptop einsetzen, die das Firmennetzwerk, wie bei einem Aussendienstmitarbeiter, verlassen.
Was gilt es zu beachten?
- Alle wichtigen und kritischen Updates installieren (inkl. Dritthersteller)
- Aktueller Antivirus
- Mobile Geräte mit Antivirus und aktiver Firewall
- Mobile Device müssen nach jedem Austausch überprüft werden
- Wenn möglich das Netzwerk regelmässig überprüfen
Weitere Informationen
Weitere Bezeichnungen
Win32/Conficker.worm.88064 (AhnLab)
Win32.Worm.Downadup.Gen (BitDefender)
Win32/Conficker.C (CA)
Win32/Conficker.X (ESET)
Trojan.Win32.Pakes.ngs (Kaspersky)
W32/Conficker.worm.gen.c (McAfee)
W32/Conficker.D.worm (Panda)
W32/Confick-G (Sophos)
W32.Downadup.C (Symantec)
Technische Beschreibung zum Wurm
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.D
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.B
http://www.confickerworkinggroup.org
http://en.wikipedia.org/wiki/Conficker
Informationen zum Patch
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Removal Tool
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
RootKit zum dedektiren
http://www.gmer.net/index.php
|
