5-Finger-Blog

DAA – W32/Conficker!

7. März 2010

In der DAA Siegen war der Wurm W32/Conficker! unterwegs. Ich habs festgestellt, denn nachdem ich den Computer den ich benutze neu gestartet hatte – mein USB-Stick steckte noch – warf direkt nach dem Neustart diese Meldung aus.

Da der Wurm nicht isoliert werden konnte, bin ich natürlich direkt runter in die Verwaltung gerannt, damit da schnellstmöglich reagiert werden kann. Auch dem Zuständigen fürs Netzwerk habe ich Bescheid gesagt. Irgendwie dachte ich das ich den Wurm mitgebracht habe. Denn einen Tag zuvor saß ich an einem Rechner mit einem angeblichen Viren-Problem. An diesem hatte ich auch meinen USB-Stick benutzt. Nicht den für die DAA, sondern meinen Privat-Stick. Da ich aber beide USB-Sticks an diesem Tag in meinem Rechner zu Hause hatte, hätte es sein können das der Wurm sich von Stick zu Stick kopiert hat. Ich hab natürlich darauf hingewiesen, das ich das gleich prüfen werde, ob ich es tatsächlich war. Ich wollte halt nur ehrlich sein, bevor die es vielleicht sogar raus finden. Direkt nachdem ich zu Hause ankam, habe ich meinen Rechner gecheckt und natürlich auch den andere USB-Stick. Nichts. Mein Rechner und auch meine USB-Sticks waren sauber. Auch das Backup, welches in an diesem Tag von dem DAA-Stick gemacht hatte, war sauber. Das habe ich natürlich auch direkt am nächsten Tag in der Verwaltung bekannt gegeben. Also das ich den nicht mitgebracht hatte.

Nun ja, der Netzwerk-Administrator hatte irgendwie keine Zeit. Er hätte jetzt nen Termin und würde sich später drum kümmern. Naja, wenn er meint. Je länger er wartet und so schwieriger wird es. Denn der Conficker hat ja schon etliche Netzwerke lahm gelegt. Beispielsweise hat er sich bei der Bundeswehr ziemlich wohl gefühlt.

Lange Rede kurzer Sinn: Es hat insgesamt fast 1 Monat gedauert (inkl. einiger Wochenende und Nachtschichten) bis er wieder raus war aus dem DAA-Siegen-Netzwerk. Und nun ist auch endlich das Service Pack 3 für Windows XP installiert worden. Wäre das schon früher installiert worden, hätte sich der Wurm wohl nicht verbreitet (Mit deaktivierter Autorun-Funktion wäre das wahrscheinlich auch dann nicht passiert.). Jetzt gibt es auch von etwa 300 Computern in der DAA nur noch einen Raum auf dem Windows XP läuft (in dem ich sitze). Alle anderen haben jetzt wohl Windows 7.

Ganz nebenbei habe ich vom Captain der DAA erfahren, das man mir dafür, das ich den Wurm ins DAA Netz gebracht habe, wohl ne Abmahnung verpassen wollte. Ich hab ihn dann darauf hingewiesen, das ich es ja gar nicht war. Was ich ja auch der Verwaltung mitgeteilt hatte. Scheinbar ist das nicht bis zu ihm durchgedrungen. Weil wenn ich es gewesen wäre, wäre ich auch so ehrlich, es zuzugeben. Aber ich bin froh das ich es nicht war. Denn ich hatte noch nie einen Virus oder Wurm auf meinem Rechner, der aktiv war. Und ich bin seit 1998 online…

Wie geht der Conficker-Wurm vor?
Welchen Zweck der Conficker-Wurm letztendlich verfolgt, ist unklar. Gegenwärtig hat der Wurm eine Infrastruktur aufgebaut, die die Programmierer des Wurms nutzen können, um Software über Remote-Verbindungen auf infizierten Computern zu installieren. Was passiert, wenn die Software ausgeführt wird? Wir wissen es nicht. Denkbar ist, dass der Wurm die infizierten Computer zu einem Bot-Netzwerk zusammenschließt, das dann an Kriminelle vermietet und von diesen für unterschiedliche Zwecke – beispielsweise zum Versenden von Spam, Stehlen von Identitätsdaten, Online-Betrügereien oder Umleiten von Benutzern auf Phishing-Websites – eingesetzt werden kann.

Der Conficker-Wurm verbreitet sich hauptsächlich über Netzwerke. Wenn er einen anfälligen Computer findet, deaktiviert er den automatischen Backup-Dienst, löscht vorherige Wiederherstellungspunkte, deaktiviert zahlreiche Sicherheitsdienste, blockiert den Zugriff auf zahlreiche Websites mit Sicherheitsinformationen und ermöglicht den Empfang weiterer Programme vom Programmierer der Malware auf infizierten Computern. Der Wurm versucht anschließend, sich auf andere Computer innerhalb des Netzwerks zu verbreiten.

Wie infiziert der Wurm einen Computer?
Der Downadup-Wurm nutzt ein Problem in Windows (eine Sicherheitslücke) mit dem Namen MS08-067 aus, um sich unbemerkt zu installieren. Benutzer, die automatisch Updates von Microsoft beziehen, sind davor geschützt. Der Wurm versucht zudem, sich durch Kopieren in freigegebene Ordner in Netzwerken und durch Infizieren von USB-Geräten wie Speicher-Sticks zu verbreiten.

Wer ist gefährdet?
Benutzer, deren Computer nicht für den Bezug von Patches und Updates von Microsoft konfiguriert sind und die kein aktuelles Virenschutzprodukt ausführen, sind am stärksten gefährdet. Darüber hinaus sind auch solche Benutzer äußerst gefährdet, die keine lizenzierte Windows-Version von Microsoft installiert haben, da für raubkopierte Systemsoftware in der Regel keine Updates und Patches von Microsoft bezogen werden können.

Quelle: symantec.com

Hier noch 2 Screenshots von den Conficker-Aktivitäten.

http://hollii.de/temp/w32confickerb.jpg
http://hollii.de/temp/w32confickerc.jpg

Weitere Infos zum Wurm Conficker gibts bei Wikipedia:

http://de.wikipedia.org/wiki/Conficker