Seit Monaten wird in der Fachcommunity eine neue Möglichkeit diskutiert, Schadsoftware auf einem modernen Betriebssystem zu platzieren: JIT Spraying. Beispielsweise kann mit dem Just In Time Compiler von Flash aus einem entsprechenden ActiveScript heraus Malware in den Speicher eingebracht werden. Ob sich „das Blatt wieder zu Gunsten der Angreifer“ wendet, wie heise.de voraussagt?

Auf aktuellen Windows Systemen scheitern konventionelle Versuche, etwa mit Buffer Overflows Malware zu starten. Das wird durch Markierung von Speicher als „nicht ausführbar“ (Data Execution Prevention DEP) und die zufällige Platzierung von Modulen (Address Space Layout Randomisation ASLR) bewirkt.

Auf der Suche nach Speicherplatz, der beschrieben und ausgeführt werden kann, fällt der Blick auf Scriptinterpreter wie Active Script. Um die Ausführungsgeschwindigkeit zu beschleunigen, werden Scripts on the run erst kompiliert und dann ausgeführt. Mit geeigneter Manipulation des Scriptcodes können so auch spezielle Muster erzeugt werden: Malwarestücke.

Teilautonom

Das Risiko entsteht nicht darum, weil DEP ausgetrickst wird, denn DEP funktioniert auf der Basiseben des Systems und seiner Prozesse konsistent. Das Problem entsteht, weil hier auf dem System relativ entkoppelte Teilsysteme – eigentlich Codefabriken – existieren. Es ist keine Lücke, sondern eine Funktion dieser Codefabriken, Lauffähigen Code zu erzeugen. Verschiedene Aspekte sind problematisch:

• Es gelangt unsignierter Programmcode auf das System, zB Scripts von einer Website.
• Die Scripts werden in reproduzierbarer Weise in direkt lauffähigen Code gewandelt.
• Der Compiler ist vom Betriebssystem entkoppelt, die entsprechenden Mechanismen greifen nicht.

Es grundsätzlich problematisch, lauffähigen Code auf einem System zuzulassen. Gegenüber dem Herunterladen und Laufenlassen beliebiger *.exe Files hat sich in den letzten Jahren eine angemessen kritische Haltung auch bei vielen Usern verbreitet. Gegenüber Scripts hat sich eine gewisse Sorglosigkeit gehalten, auch im professionellen Umfeld. Einerseits vertraut man auf die Zuverlässigkeit von Interpretern in einer Browser-Sandbox. Andererseits wird gar nicht kritisch diskutiert, weil die serverseitige Entwicklung zu immer mehr Scripts hin ging. Der Webserver versendet Objekte und Scripts – die Page wird dann durch den Browser beim User zusammengebaut. Viel sicherer wäre natürlich, dem User nur Objekte darzubieten.

Die massive Verbreitung von Scripts hat nun die Browser-Programmierer unter Druck gesetzt, aus Performancegründen zu kompilieren. Google war mit Chrome und beeindruckenden Performance-Vorteilen Vorreiter dieser Entwicklung.

Riskioabschätzung

Das Teilproblem, Malwarescripts zu erzeugen, die kompiliert lauffähige Malwareelemente ergeben, darf als gelöst angesehen werden. Auf einem aktuellen Windows-System müssen aber eine Reihe von weiteren Hürden überwunden werden, bis eine Kompromittierung des User-Kontexts gelingt. Härtung des Compilers: Die Browserproduzenten dürften einzelne Härtungsmechanismen einbauen, wenn das Problem praktisch relevant werden sollte. Sandboxing: Ein Malwarefragment im Browserkontext kann nur selektiv auf Funktionen des Systems zugreifen. Integrity Level: Ein Malwarefragment im Browserkontext kann keine höher eingestuften Prozesse ansprechen oder kreieren.

Leider schweigen sich die vorliegenden Publikationen darüber aus, wie das Potential in Bezug auf ein aktuelles System und in der realen Welt zu bewerten ist. Vorläufig ist noch nichts über lebensfähige Implementierungen im realen Ökosystem bekannt. Auf ein halbes Jahr hinaus betrachtet dürfte die praktische Relevanz äusserst bescheiden sein. Das mittelfristige Potential ist vorhanden, das Ausmass bleibt offen und hängt auch von den Gegenmassnahmen der Compilerbauer ab.

Für Maschinen mit Top Security Maschinen muss diskutiert werden, ob nicht ein absolutes Whitelisting angesagt ist, das auch Scripts umfasst. Unter 64 Bit Windows können die Nebenfolgen in der 64Bit Instanz von Internet Explorer schon mal getestet werden: Flash gibt da schon gar nicht, Java Script und Active Script kann im Browser weggeschaltet werde.

Beim Programmieren von Anwendungen auf wiederverwendbare Komponenten zu bauen, hat sich durchgesetzt. Es entsteht dabei ein Risiko, wenn Angreifer eine Anwendung veranlassen können, eine manipulierte Komponente nachzuladen. Dieser Problematik wird seit Jahren diskutiert, im Fall von Windows beispielsweise hier.

Brisanter ist die Problematik geworden durch die Ausbreitung der Konnektivität und durch aktuelle Hinweise auf Exploits. Microsoft hat ein Advisory publiziert.

Beim dynamischen Laden von Komponenten sind zwei Szenarien zu unterscheiden. Entweder programmiert der Programmierer den Pfad zur Komponente. Das empfiehlt Microsoft als Good Practice, weil damit ein Laden von Malware-Komponenten unterbunden wird. Oder der Pfad wird offen gelassen, dann sucht das Betriebssystem nach einer vorgegebenen Liste in verschiedenen relevanten Pfaden nach der DLL. Einer dieser Pfade ist das aktuelle Arbeitsverzeichnis.

Dieses aktuelle Verzeichnis kann auch ein USB-Laufwerk, eine WebDAV Verbindung oder ein mit SMB eingebundenes Netzlaufwerk sein. Damit sind gleich die wichtigsten Verbreitungspfade angesprochen. Die Bedingungen für eine erfolgreiche Infektion sind:

1. Malware muss auf einem potentiellen Pfad eines Systems platziert sein, am einfachsten ein externes Medium.
2. Dieser Pfad muss der aktuelle Pfad sein.
3. Die Anwendung muss so programmiert sein, dass sie beim Öffnen bestimmter Filtypen das Betriebssystem nach noch nicht eingebundenen DLLs suchen lässt.

Nicht alle in der aktuellen Diskussion als verletzlich genannten Anwendungen verhalten sich gleich und schicken bei einem Standard-Filetyp das Betriebssystem auf DLL-Suche. Es kann durchaus sein, dass ein Media-Player bei jedem MP3 eine Suche anstösst, die ins aktuelle Verzeichnis führt. Beim von Secunia ebenfalls als verletzlich gelisteten PowerPoint zeigt andererseits ein kurzer Test mit Version 2010, dass das Öffnen ein *.pptx Files von einem Memorystick nicht zu einem DLL-Search auf diesem Stick führt. Eine allfällig vorhandene Malware würde nicht geladen. Die genauen Modalitäten der Ausnützbarkeit bleiben offen.

DLL Preload ist vorerst ein ernst zu nehmendes Potential, aber kein sich schlagartig auftürmendes Risiko. An der grundsätzlichen Ausnützbarkeit bestehen keine Zweifel. Ob das leicht in grossem Ausmass möglich ist, dürfte sich im Verlauf des Monats September zeigen.

Von den grossen Softwareproduzenten darf erwartetet werden, dass sie zügig Ihre Produkte analysieren und wenn nötig die Lademechanismen für DLLs abdichten.

Auf Ebene des Betriebssystems liegt keine Verletzlichkeit im üblichen Sinne vor. Für Umgebungen mit erhöhtem Schutzbedarf hat Microsoft einen Workaround publiziert, welcher die Einschränkung der Ladepfade möglich macht. Derartige Einschränkungen des Möglichkeitenraums haben häufig einen Preis. Im vorliegenden Fall werden bei einzelnen Programmen wie Google Chrome Kompatibilitätsprobleme gemeldet.

[Fortsetzung zum Thema DLL: Apps mit unsicherem DLL Loading]

Seit etwa 2007 verbreiten sich Varianten von Gozi auf Windows Rechnern und sammeln dort Account Informationen. Der professionell designte Trojaner zielt auf Bankkunden, taucht aber in den letzten Wochen auch häufiger an Hochschulen auf.

Gozi kann vor allem den Anwendern und Admins richtig wehtun. Den Usern können eBanking- und andere Konten ausser Kontrolle geraten. Admins sind mit einer Malware auf dem Stand der Technik konfrontiert, die auf dem System schwierig zu anaylsieren und unter Kontrolle zu bekommen ist.

Gozi kann verschieden Versionen von Windows befallen. Unter XP betrieben unter Admin-Rechten installiert er sich auf Ebene des Systems. Unter Windows7  wo der User out of the Box mit Standarduserrechten arbeitet, im Userkontext respektive Userprofil, ohne dass der Kern des Systems kompromittiert wird. Diese und weitere Infos sind rein indikativ, solange keine konsistente technische Analyse der Malware inklusive Versionshistory greifbar ist!

Ansehen…

Um eine Befallshypothese zu prüfen, kann unter XP etwa der folgende Registry-Eintrag angesehen werden, der auf ein Gozi DLL zeigt – zumindest bei einzelnen momentan aktuellen Varianten: Ein Fehlen dieses Eintrags bedeutet nicht dass ein System Gozi-frei ist!
HKLM\System\CurrentControlSet\Control\SessionManager\AppCertDlls

Unter Vista/W7 kann der der Autostart-Pfad lauten:
HKU\{UserSID}\Software\Microsoft\Windows\CurrentVersion\Run\lsasasrv:
“rundll32″C:\Users\{UserName}\AppData\Local\Temp\fontnatt.dll”,DllEntryPoint”

Detektion mit AV: Auch führende Produkte wie Avira von der Rescue CD erkennen aktuelle Mitglieder der Gozi-Familie nicht (immer). 

… und Aufräumen

Eine befallene Box sauber zu bekommen heisst: Neuinstallation. Ausnahmen können sich nur qualifizierte Profis genehmigen – unter ein paar Bedingungen:

• Es sind tiefe Systemkenntnisse verfügbar, um versteckte Systemmechanismen detektieren
• Es ist klar, welche Malwareversion vorliegt, sodass entsprechende Removal-Tips wirklich zutreffen
• Es kann analysiert werden, dass keine weitere Malware auf dem System existiert

Kurz und gut: Weder ein Virenscan noch das Abarbeiten eines Removal Tips garantieren ein porentief reines System.

Prävention

Mögen die Wege von Gozi in das System noch so raffiniert sein – sie nützen Verletzlichkeiten aus. Waren das in früheren Jahren solche des Internet Explorer, sind das nun zB ungepatchte Löcher des Adobe Readers: „We witnessed a number of Gozi Trojans distributed via malicious PDF versions.“ Stellt eine Analyse der TrustDefender Labs fest.

Gozi Prävention heisst wie immer: Nicht nur Windows, sondern auch Anwendungen und Plugins ständig auf die neueste Version upgraden und alle Patches einspielen.

Ein Virenschutz mit aktuellen Definitionen ist hilfreich, kann aber Patchen nicht ersetzen. Gerade Gozi Varianten bleibt durch die Verwendung neuer Techniken häufig wochenlang durch verschiedene Virenscanner unentdeckt. Das gilt auch für HiEnd Produkte von Symantec oder Avira, welche eine neuere Version unter dem Label TR/Spy.Banker.Germ.A führt.

Informationen

Einen guten neueren Überblick bietet Gozi – a perfect example of an “older” trojan re-inventing itself der bereits erwähnten TrustDefender Labs.

Historische Analyse von SecureWorks  2007.

Beispiel für die Beschreibung einer bestimmten Instanz durch eine AV-Firma ist TR/Spy.Banker.Germ.A – Trojan von Avira. Etwas müde Sophos, letzte Update im Januar – hier heisst der Trojaner Troj/Gozi-Gen und es werden Aliases aufgeführt: Trojan.Win32.Agent.cbr und Generic PWS.o .

Virenschutz ist nur einer von mehreren Faktoren der PC-Sicherheit. Unverzichtbar bleibt er. Im der Nummer 26/2009 hat c’t einige aktuelle Virenschutzprogramme getestet – es fehlen die an der ETH wichtigen Produkte von Avira (letzter Test in c’t 12/2009) und Sophos.

Als Leitindikator betrachten wir die Erkennungsrate eines Malware Zoos mit einer
Halben Million Schädlingen. Die Begründung: Wer mit den paar hunderttausend weit verbreiteten Malwares aus den letzten Monaten nicht zurecht kommt, kann dieses Loch unmöglich durch andere Stärken kompensieren. Bemerkenswert ist, dass die meisten Produkte nun diesen Zoo viel besser handhaben als vor zwei Jahren. Die Ergebnisse führen zu folgenden Bewertungen. McAfee stösst mit der Edition 2010 in die Spitzengruppe vor. Microsoft Security Essentials macht als kostenloser Neuankömmling einen sehr guten Eindruck. 

Die guten Erkennungsraten geben Spielraum, weiteren Gesichtspunkten wie Usability oder dem Vorhandensein einer Konsole für betriebliche Umgebungen mehr Platz einzuräumen. Hier nun einige Zoo-Erkennungsraten aus c’t:

Weitere Daten finden Sie bei CHIP - Avira macht in diesem Test 2010 nicht den gewohnten brillianten Eindruck – es sollte aber die mittelfristige Performance über mindestens 2-3 Jahre betrachtet werden. Eine gewisse Formschwäche von Avira zeigt sich auch in den Testergebnissen von av-comparatives. Alle relevanten Produkte sind auf einem reaktiv/proaktiv Diagramm von virusBULLETIN eingetragen – diese Ergebenisse stützen die folgenden Empfehlungen.

Empfehlungen

Referenzprodukt bleibt Avira Antivir aufgrund seiner jahrelang hohen Erkennungsleistung, Aktualisierungsperformance und Supportqualität. Ebenfalls in die Topkategorie reihen wir Norton AntivVirus ein.

Als gute Produkte viel besser als gar nichts sehen wir: McAfee AntiVirus, das aufgrund der schlechten Leistungen in den letzten Jahren (zB eine Erkennunsrate von nur 86.4% 2008) mit einem Makel behaftet bleibt. Sophos, das schwer beurteilbar ist, weil es kein Retail-Produkt vertreibt, das von c’t und anderen getestet wird. Microsoft Security Essentials ist einfach noch zu jung, um fundiert beurteilt zu werden – erste Wahl, wenn es nichts kosten darf, etwa für sporadisch verwendete Virtuelle Maschinen. Avira Free kommt für alle in Frage, die sich an Werbeeinblendungen nicht stören.

Mit der wachsenden Beliebtheit von USB-Sticks und mobilen Harddisks sind diese Medien zu immer wichtigeren Verbreitungsmitteln für Malware geworden. In bester Erinnerung ist Conficker, der unter anderem auf diese Verbreitungsmöglichkeit hin ausgelegt war.

Bekannt ist, dass ursprünglich mit Hilfe von autorun.inf auf dem Stick nach dem Einstecken direkt eine Software gestartet werden konnte – wenn die Systemkonfiguration es zuliess. Weniger bekannt ist, dass auch der Userdialog gestaltet werden konnte. Das geht auf ein traditionelles Feature zurück, das ein komfortables Startmenu etwa auf Installations-CDs erlaubt. So konnte auch vom Stick im öffnenden Dialogfenster zB ein Menupunkt „Open Folder to view files“ mit Icon eingeblendet werden, der wie vom System geschaffen aussah. Ein Klick darauf öffnete nicht den Folder, sondern startete direkt die Malware.

Diese Möglichkeit ist bei Windows 7 für USB-Sticks eliminiert worden. Der Dialog stammt ausschliesslich vom System – gefälschte Einträge sind ausgeschlossen. Das verhindert natürlich nicht, dass User auf dem Stick browsen und per Maulklick und Bestätigung eine Malware starten. Ein Blog-Eintrag erläutert das.

Für Windows Vista und XP wird diese Beschränkung mit dem Patch kb 971029 installiert.

Info zum Feature AutoRun-Enabled Application. KB 967715 liefert Information zum Wegschalten und Konfigurieren von Autorun. Das für Vista dokumentierte gilt auch für Windows 7. Die mit gpedit.msc setzbaren Parameter werden auch direkt in der Konsole dokumentiert.   

Von Dritten gekaperte PCs werden gerne als Spamplattform missbraucht. Die Zeiten, wo der Spamversand auf Maximalgeschwindigkeit getrieben wurde, sind vorbei. Weit unter der kritischen Grenze bleiben, wo der User nicht mehr arbeiten kann oder die Netzwerkkomponenten heiss laufen: so lautet das Motto der Malwaredesigner.

Weil die betroffenen PCs dosiert spammen, merken die meisten Privatanwender und Institutionen wochenlang nichts, wenn ein PC spamt. Hier sehen wir ein Beispiel, wie ein kompromittierter PC über einige Stunden einen Spamauftrag abarbeitet.

In den Nachmittagsstunden bleibt er auf einem Level von 1500 bis 2000 Flows pro Stunde – deutlich unter dem Niveau von ‘hauptberuflichen’ Mailservern und weit weg von der vollen Netzkapazität. In den Abendstunden wird dann noch etwas Gas gegeben. Vielleicht wollte der Spam-Operator noch ein Bier trinken gehen…

Leisten sollte er sich das können. In einem ausführlichen Artikel über die Schattenwirtschaft auf dem Internet wird der Jahresumsatz mit Spamversand auf 780 Millionen Dollar geschätzt.

Virenschutz kann es nicht richten, bildet aber einen unverzichtbaren Pfeiler der Rechnerqualität. Einen Druck zum optimalen Produkt gibt es vor allem für Windows-XP Umgebungen. Was tut sich bei den Produkten?

c’t nimmt in Heft 12 ein paar neue Produkteversionen unter die Lupe. Avira AntiVir 9 erscheint einmal mehr als hochwertiges Produkt. Es punktet bei der Geschwindigkeit und einer hohen Erkennungsrate beim zentralen Signatur Test. Hier wird den Produkten ein Zoo von gegen einer Million Schädlingen untergejubelt. Aviras 98% werden allerdings von den unglaublichen 99.9% des G Data Antivirus 2010 getoppt. Bei einem Test Ende 2007 lagen beide gleichauf.

Die Autoren legen auch Gewicht auf die Implementierung von Heuristik und Verhaltenserkennung. Heuristik basiert nicht auf Signaturen, sondern auf generellen formalen Merkmalen von Malware. Sie ist daran, zu einer reifen und relevanten Technologie zu werden. Auf historische Samples werden Erkennungsraten von rund 50% erzielt. Wenn das bei neuen, unbekannten Versionen auch ungefähr so ist, entsteht ein relevanter Schutzeffekt neben der Signaturerkennung.

Verhaltenserkennung kann ebenfalls nützliche Erkenntnisse gewinnen. Avira implementiert sie nicht. Ob die Überwachung von Kernel-Mustern eine grosse Rolle spielen wird und ob diese Aufgabe nicht vom Betriebssystem wahrgenommen werden soll, wird die Zukunft weisen.

* * *

McAfee, der renommierte Veteran aus den 90er Jahren, hat in den letzten Jahren an Glanz verloren. Das Virenprodukt ist beim Monatstest eines Zertifizierungslabs durchgefallen.

“How good is Microsoft’s free antivirus software?” fragt sich Fachjournalist Ed Bott angesichts der Veröffentlichung der Betaversion von Security Essentials. Das Produkt soll im Herbst gratis und ohne Registrierung erhältlich sein. Für betriebliche Umgebungen ist das weniger interessant, für private AnwenderInnen vielleicht schon. Bott findet das Produkt ganz OK. Microsoft hat einiges gut zu machen: Defender oder LiveCare haben bisher nicht gerade geglänzt.

Mit selten gesehener Einhelligkeit hat die globale IT-Security Community Ende März vorausgesagt, dass am 1. April in Sachen Conficker nichts Besonderes passieren würde. So war es dann auch. Es konnte einfach verifiziert werden, dass die neuen Kontaktalgorithmen aktiv geworden sind. Für einen Umbau der infizierten Rechner zu einem operationellen Botnet gibt es vorerst keine Indizien.

Zahlreiche Medien haben den Anlass genutzt, um die Unsicherheit des 1. April etwas hochzukochen. Wenn dieser Aspekt auch daneben war, ist die mediale Beschäftigung mit Conficker doch vom Ausmass her durchaus gerechtfertigt. Erstmals in diesem Massstab kann die Öffentlichkeit live beobachten, wie stufenweise ein Malwarenetz aufgebaut wird. Auf eine Phase massiver Verbreitung folgt eine zweite der Konsolidierung und Härtung der Kommunikationsinfrastruktur. Wie es weiter geht, werden wir sehen.

Mangels grösserer Events ist in letzter Zeit etwas in Vergessenheit geraten, in welch schlechtem Zustand viele private, aber auch manch geschäftliche PCs sind. Von den über einer Milliarde Hosts am Internet tummeln sich einige hundert Millionen unterhalb eines elementaren Qualitätslevels. Vom Jugendtreff in der Favela bis ins helvetischen KMU ist es einem substantiellen Teil der User ziemlich egal, wie sicher sie unterwegs sind. Dazu passt die Haltung fast aller europäischer Provider, die jede Benachrichtigung und Sperrung befallener Kundenmaschinen einfach unterlassen. Conficker hat nun wieder einmal gut sichtbar einen Teil dieses LowQ Potentials ausgeschöpft.

Das Potential ist aber ständig da und bildet die Basis für Phänomene, die relevanter und für die IT-Community unangenehmer sind als Conficker – etwa die Plattformen des anhaltend massiven Spamversands.

Durch eine konzertierte Aktion der wichtigsten Provider könnte Conficker innerhalb von ein paar Tagen zu einer Marginalie degradiert werden. Davon sind wir weit entfernt. Immerhin hat sich in neuartiger Weise ein breite Koalition von Security Firmen und weiteren Unternehmen gegen Conficker gebildet. Die Conficker Working Group publiziert unter anderem einen Instant-Test. Der basiert nicht auf einem Scan des Systems, sondern nutzt einfach die Tatsache aus, dass Conficker den Zugriff zu bestimmten Security-Sites sperrt.

Links zu Tools und weiteren Informationen
http://www.confickerworkinggroup.org/wiki/
http://www.heise.de/security/Die-Infoseite-zu-Conficker–/artikel/135725

Die Sonntagspresse beschäftigt sich mit Conficker. Sorgen bereitet aber eher der auf leisen Sohlen daher kommende Torpig. Der Trojaner führt mit Rootkit-Technologie den Virenschutz an der Nase herum. Eine Verbreitungsmethode bilden offenbar Mail-Attachments.

Nachdem die ‘NZZ am Sonntag’ gestern auf einer ganzen Seite über den Wurm Conficker C berichtet hat, richtet die die öffentliche Aufmerksamkeit auf den ersten April. Da soll der Wurm einen neuen, komplexeren Kommunikationsalgoritmus in Betrieb nehmen. Das ist in erst einmal als defensive Massnahme der Malwareschreiber zu sehen, die dem Vorgehen der Netzwerkbetreiber auszuweichen versuchen. Dass am 1. April eine massiv erhöhte Bedrohung für gut gemanagte Umgebungen entsteht, erscheint wenig wahrscheinlich. Im Gegenteil. Eine Analyse von Symantec zeigt, das Conficker C gar keine Verbreitungsmechanismen mehr enthält. Die bestehenden Installationen wurden mit dem Upgrade auf Version C gehärtet für den ‘produktiven’ Einsatz. Conficker C ist “a robust and secure distribution utility for distributing malicious content and binaries to millions of computers across the Internet” (SRI).

Deutlich gefährlicher und unangenehmer wirken neue Varianten von Torpig (alias Sinowal, Mebroot, BackDoor.MaosBoot). Torpig wird seit Jahren professionell immer weiter entwickelt und zielt auf Online Banking ab. In der schweizerischen Hochschulwelt wurden in den letzten Wochen einige Dutzend Infektionen durch Torpig-BF festgestellt, einige davon an der ETH. Beunruhigend ist nicht Anzahl, sondern die Tatsache, dass die Infektionen auch von den besten Antivirenprodukten wie Avira Antivir nicht erkannt worden sind. Grund dafür sind Rootkit Mechanismen, durch die das Virus weitgehend unsichtbar wird. Inzwischen konnte Avira bei einem Scan von einer andern, sauberen Maschine auf der betroffenen Disk Sinowal identifizieren – wahrscheinlich, weil in diesem Modus kein Rootkit-Schutz existiert.

Letzte Woche konnte eine aktuelle Version auf dem betroffenen System nur mit dem Tool CureIt von Dr. Web gefunden und entfernt werden. Bei nicht aufklärbaren Indizien und Verdachtsmomenten kann dieses Tool eingesetzt werden. Eine gewisse Zurückhaltung ist insofern angebracht, dass der Hersteller (noch) wenig bekannt ist. Vorsichtige legen einen Restore-Point an, setzen das Tool ein und fahren dann das System auf den Restore-Point zurück, wenn nichts gefunden wurde. Der Einsatz des Tools erscheint sinnvoll, solange wichtige AV-Produkte nicht mit allen neuen Torpigs umgehen können. Die Aufklärung schwerwiegender Verdachtsmomente ist auch dann sinnvoll, wenn die Neuinstallation eines Rechners in Betracht gezogen wird.

Ein alternatives Vorgehen bootet von einem externen Medium (etwa der von c’t periodisch verteilten knoppix CD) und startet einen Virenscanner so. Auch möglich ist ein Überschreiben des MBR etwa mit einer Windows Repair-Disk oder dem Avira Tool - das ist aber mit Unsicherheiten behaftet, weil anschliessend auf die Funktionalität des installierten Antiviren-Produkts vor einem weiteren Reboot vertraut werden muss.   

Torpig schreibt sich in den Master-Boot-Record MBR ein, um bereits beim Booten eines Systems Tarnmechanismen zu etablieren. Rootkitmechanismen sind äusserst unangenehm, wenn sie mal auf der Maschine etabliert sind. Darum muss bereits ein Eindringen verhindert werden. Hilfreich dabei ist die Verwendung von Windows Vista statt XP sowie das Arbeiten unter Standarduser Rechten. Auf einer gepatchten Maschine gibt es für Malware keinen Weg aus dem Userkontext in die Tiefen der Maschine, was für die Installation eines Rootkits unabdingbar ist. Weitere Informationen bei Sophos.

Der Conficker Wurm treibt seit Wochen seit Unwesen. Aufgrund der zahlreichen ungepflegten PCs und mehrfachen Verbreitungsmethoden ist die Epidemie wohl abgeflacht, aber nicht am Erlöschen. So wurden kürzlich wieder mehrere hundert Computer der Bundeswehr befallen. Die IT-Community hat nun ihre Anstrengungen erhöht. Sicherheitsfirmen stellen Informationen und Removal Tools zur Verfügung, die Internetbehörde ICANN schaltet sich ein und Microsoft hat eine Belohnung ausgeschrieben. Inzwischen konnte zumindest für einzelne Versionen der Kontaktmechanismus der Malware geknackt werden. Für die nächsten Wochen erwarten wir einen Rückgang der Epidemie.

Generell sind vor allem private PCs betroffen, die meisten betrieblichen Umgebungen sind kaum tangiert. Im Hochschulumfeld macht sich der Semesterbeginn bemerkbar. Studis mit vereinzelten infizierten Laptops tauchen im dem Hochschulnetz auf.

Verbreitungsmechanismen
Vulgärdarwinismus lässt sich natürlich auch aufs Internet projizieren und wir können mindestens von einem temporären Survival of the Fittest sprechen. Conficker verfügt über drei effiziente Verbreitungsmechanismen. Patchen mit MS08-067 stopft nur einen dieser drei Pfade:
1) Server-Service Verletzlichkeit. Verhindert durch: Patch MS08-067
2) Kopieren in das $ADMIN Share (normalerweise Windows-Ordner) eines Drittcomputers. Dazu versucht Conficker Kontonamen und eine Passwortliste aus, was zur Sperrung betroffener Konten führen kann. Verhindert durch: Windows-Firewall geschlossen; sicheres Passwort.
3) Kopie auf portablen Medien mit einem .inf File, das die Installation der Malware startet, wenn ein PC AutoPlay eingeschaltet hat.
Aktuelle Virenscanner verhindern den Befall und die Verbreitung von Conficker.

Hinweise für Private
Die üblichen Hinweise auf Patchen, geschlossene Windows Firewall und Arbeiten unter Standarduserrechten greifen auch hier. Die aktuelle Lage könnte der Anlass sein, den Virenschutz auf Aktualität zu checken.

Besonders exponiert sind Haushalte, die einen gemeinsamen Medienserver betreiben oder sonst Shares und USB-Sticks in einem wenig gesicherten Umfeld austauschen. Die Geschäftslaptops der Eltern sollten keinen allzu familiären Umgang mit der Kamikaze-Box des Juniors pflegen.

Risiken in betrieblichen Umgebungen
Gut gepflegte betriebliche Umgebungen sind kaum von grösseren Infektionen betroffen. Verletzlich erscheinen besondere Umgebungen, etwa eine abgeschottete Gruppe von offenen Messrechnern. Da kann sich das Auftauchen eines infizierten Privatlaptops oder USB-Sticks verheerend auswirken.

Das Auftauchen eines einzelnen infizierten Rechners in einer Windows-Domain kann dazu führen, dass im direkten Umfeld alle Konten geblockt werden. Der infizierte Rechner hat meistens Leserechte für die Objekte der Organisationseinheit und kann darum effizient die Computer und Konten scannen. Scanartige Muster auf Port 445 im Firewall-Log können auch ohne Konto-Lockout auf die Präsenz eines infizierten Rechners hinweisen.

Informationen, Removal
Eine Linksammlung zu weiteren Informationen und Removal-Tools findet sich bei SANS. Detailreiche Beschreibung bei SRI. Für PrivatandwenderInnen “Protect yourself from the Conficker computer worm“. Background von Microsoft zu Conficker.B / Verbreitung  /  disable Autorun .

UPDATE 20.2.
Neben den Varianten .A und B. beginnt sich in den letzten Tagen eine neue Version Conficker.B++ zu verbreiten. Die Malware Autoren haben offenbar auf die Offenlegung und Sperrung der Kontaktpunkte reagiert. Offen ist momentan, wie die Virenschutzprodukte mit B++ zurechtkommen.

UPDATE 1.4.
Der heutige Wechsel des Kommunikationsmechanismus von Conficker bewirkt vorderhand erwartungsgemäss keine neue Bedrohung sauberer Maschinen. Möglicherweise wird das Netz der betroffenen Maschinen nun in Richtung eines ‘produktiven’ Botnets weiterentwickelt.