scaryBITS

Der Conficker Wurm treibt seit Wochen seit Unwesen. Aufgrund der zahlreichen ungepflegten PCs und mehrfachen Verbreitungsmethoden ist die Epidemie wohl abgeflacht, aber nicht am Erlöschen. So wurden kürzlich wieder mehrere hundert Computer der Bundeswehr befallen. Die IT-Community hat nun ihre Anstrengungen erhöht. Sicherheitsfirmen stellen Informationen und Removal Tools zur Verfügung, die Internetbehörde ICANN schaltet sich ein und Microsoft hat eine Belohnung ausgeschrieben. Inzwischen konnte zumindest für einzelne Versionen der Kontaktmechanismus der Malware geknackt werden. Für die nächsten Wochen erwarten wir einen Rückgang der Epidemie.

Generell sind vor allem private PCs betroffen, die meisten betrieblichen Umgebungen sind kaum tangiert. Im Hochschulumfeld macht sich der Semesterbeginn bemerkbar. Studis mit vereinzelten infizierten Laptops tauchen im dem Hochschulnetz auf.

Verbreitungsmechanismen
Vulgärdarwinismus lässt sich natürlich auch aufs Internet projizieren und wir können mindestens von einem temporären Survival of the Fittest sprechen. Conficker verfügt über drei effiziente Verbreitungsmechanismen. Patchen mit MS08-067 stopft nur einen dieser drei Pfade:
1) Server-Service Verletzlichkeit. Verhindert durch: Patch MS08-067
2) Kopieren in das $ADMIN Share (normalerweise Windows-Ordner) eines Drittcomputers. Dazu versucht Conficker Kontonamen und eine Passwortliste aus, was zur Sperrung betroffener Konten führen kann. Verhindert durch: Windows-Firewall geschlossen; sicheres Passwort.
3) Kopie auf portablen Medien mit einem .inf File, das die Installation der Malware startet, wenn ein PC AutoPlay eingeschaltet hat.
Aktuelle Virenscanner verhindern den Befall und die Verbreitung von Conficker.

Hinweise für Private
Die üblichen Hinweise auf Patchen, geschlossene Windows Firewall und Arbeiten unter Standarduserrechten greifen auch hier. Die aktuelle Lage könnte der Anlass sein, den Virenschutz auf Aktualität zu checken.

Besonders exponiert sind Haushalte, die einen gemeinsamen Medienserver betreiben oder sonst Shares und USB-Sticks in einem wenig gesicherten Umfeld austauschen. Die Geschäftslaptops der Eltern sollten keinen allzu familiären Umgang mit der Kamikaze-Box des Juniors pflegen.

Risiken in betrieblichen Umgebungen
Gut gepflegte betriebliche Umgebungen sind kaum von grösseren Infektionen betroffen. Verletzlich erscheinen besondere Umgebungen, etwa eine abgeschottete Gruppe von offenen Messrechnern. Da kann sich das Auftauchen eines infizierten Privatlaptops oder USB-Sticks verheerend auswirken.

Das Auftauchen eines einzelnen infizierten Rechners in einer Windows-Domain kann dazu führen, dass im direkten Umfeld alle Konten geblockt werden. Der infizierte Rechner hat meistens Leserechte für die Objekte der Organisationseinheit und kann darum effizient die Computer und Konten scannen. Scanartige Muster auf Port 445 im Firewall-Log können auch ohne Konto-Lockout auf die Präsenz eines infizierten Rechners hinweisen.

Informationen, Removal
Eine Linksammlung zu weiteren Informationen und Removal-Tools findet sich bei SANS. Detailreiche Beschreibung bei SRI. Für PrivatandwenderInnen “Protect yourself from the Conficker computer worm“. Background von Microsoft zu Conficker.B / Verbreitung  /  disable Autorun .

UPDATE 20.2.
Neben den Varianten .A und B. beginnt sich in den letzten Tagen eine neue Version Conficker.B++ zu verbreiten. Die Malware Autoren haben offenbar auf die Offenlegung und Sperrung der Kontaktpunkte reagiert. Offen ist momentan, wie die Virenschutzprodukte mit B++ zurechtkommen.

UPDATE 1.4.
Der heutige Wechsel des Kommunikationsmechanismus von Conficker bewirkt vorderhand erwartungsgemäss keine neue Bedrohung sauberer Maschinen. Möglicherweise wird das Netz der betroffenen Maschinen nun in Richtung eines ‘produktiven’ Botnets weiterentwickelt.