[Warning] Update: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

Otmar Lendl lendl at cert.at
Wed Jan 14 18:21:37 CET 2009 

14. 1. 2009: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

Aufgrund des Auftretens des Conficker.B/Downadup Wurms in teilweise
kritischen Umgebungen wie Behörden und Spitälern empfiehlt CERT.at
*dringend* die Beachtung der folgenden Hinweise, die unsere Warnung vom
10. 1. 2009 (http://www.cert.at/warnings/all/20090110.html) ergänzen:

Generell gilt, dass ein Einspielen des Patches zu MS08-067 vom Oktober 2008
keinen ausreichenden Schutz darstellt, da der Wurm auch andere Methoden
zur Ausbreitung nutzt.

**** CERT.at empfiehlt folgende präventive Maßnahmen:

* Aktuelle Patches einspielen, insbesondere das Update zu MS08-067
   http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
* Sorgen Sie für eine aktuelle Antivirensoftware.
* Abdrehen von Autorun für alle externen Datenträger
   http://support.microsoft.com/kb/953252/de
* Shares sollten dringend mit nicht-trivialen Passwörtern gesichert sein
* Aktivieren Sie Password Complexity für lokale Accounts
   http://technet.microsoft.com/de-de/library/cc786468.aspx

Mittlerweile haben mehrere Hersteller von Antivirensoftware nicht nur ihre
Erkennungssoftware aktualisiert, sondern stellen auch Tools zur Entfernung
des Wurms zum Download bereit.

Microsoft hat ein Update des "Malicious Software Removal Tools" MSRT
publiziert, das auch über Windows Update verteilt wird. Da der Wurm diesen
Mechanismus unterbindet empfiehlt CERT.at, dieses Tool von Hand zu laden
und zu starten.

Siehe http://www.microsoft.com/austria/security/malwareremove/default.mspx

Das MSRT sollte insbesondere auf private PCs ausgeführt werden, und zwar
unabhängig vom Lizenzstatus der Windowsinstallation.

**** Falls Ihr Firmennetz betroffen ist:

* Deaktivieren Sie die automatische Benutzerkontensperre bei
Login-Fehlversuchen, um das Aussperren von Benutzern zu verhindern.

* Loggen Sie sich auf keinen Fall als Domain Administrator auf einem
infiziertem PC ein, da der Wurm dann Ihre Credentials zur Ausbreitung
nutzen kann.

* Scheuen Sie sich nicht, den Hersteller ihres Antivirenproduktes zu
kontaktieren und um Hilfe zu bitten. Die Entwurmung von größeren Netzen ist
nicht trivial.

* Betreiber von kritischer Infrastruktur können sich bei Bedarf auch an
CERT.at wenden; wir können Experten vermitteln.

**** Allgemeine Lage in Österreich

Die finnische Security-Firma F-Secure hat den Algorithmus geknackt, nach
dem der Wurm die Domains berechnet, von denen er weiteren Code nachlädt.
Diese Liste ist auf http://www.f-secure.com/weblog/archives/00001578.html
verfügbar. Mit Hilfe dieser Liste können Systemverwalter a) das Nachladen
von Schadcode verhindern, und b) Infektionen innerhalb des eigenen Netzes
schnell erkennen.

F-Secure hatte am Wochenende einige der berechneten Domain selber
registriert und so gesehen, von welchen IP-Adressen aus infizierte PCs
Software nachladen wollten. Siehe
http://www.f-secure.com/weblog/archives/00001579.html

Die Zahlen belegen, dass es sich um ein globales Phänomen handelt, und
nicht um eine auf Österreich (oder gar auf Kärnten) gerichtete Kampagne.

Symantec hat vergleichbares für die Conficker.A Variante gemacht und die
Windows-Versionen aufgeschlüsselt. Siehe
https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/224
und
https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/225

Nach den vorliegenden Informationen enthält der Wurm aktuell keine direkten
Schadensroutinen, sondern versucht weiteren Code nachzuladen. Es ist
derzeit nirgendwo publiziert, was da eigentlich nachgeladen wird, primär
weil die Webadressen, die probiert werden, schlicht (noch) nichts liefern.

Für die Schreiber des Wurms ist es damit möglich, zeitgesteuert beliebigen
Code nachladen zu lassen. Was dieser dann tun wird, kann nicht vorhergesagt
werden.

*** Weitere Links:

http://blogs.technet.com/kfalde/archive/2009/01/08/malware-win32-conficker-b-w32-downadup-b.aspx
http://blogs.technet.com/rhalbheer/archive/2009/01/13/additional-information-on-conficker-msrt-removing-conficker.aspx
http://blogs.technet.com/gerhardg/archive/2009/01/14/entfernen-von-conficker-b.aspx
http://www.f-secure.com/weblog/archives/00001580.html
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 250 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090114/24e9574c/attachment.sig>

More information about the Warning mailing list