Artikel mit ‘Wurm’ getagged

Conficker – Tipps und Tricks

Dienstag, 19. Mai 2009

Ich habe in letzter Zeit vermehrt mit dem Wurm “Conficker” zu tun und somit mir meine eigenen Symptome und Mittel erschlossen, diesen Wurm zu bekämpfen. Bemerkenswert ist, dass er sich auf unterschiedlichen Systemen unterschiedlich verhällt, dennoch kann man Parallelen ziehen.

Da ich ihn nur unter Windows 2000 und XP kenne, werde ich zunächst dort meine Erfahrungen dokumentieren.

Windows Allgemein:

  • Befall der pagefile.sys
  • Einnistung im System Volume Information (Wiederherstellungspunkte)
  • Befall der Definitionsdateien der Virenscanner
  • bei Rechnern ohne MS 08-067

Windows 2000

  • Befall einiger Dateien des Virenscanner sowie Programmen

Windows XP

  • Befall der NTUSER.DAT

Achtung: Wer die NTUSER.DAT löscht, macht sein Profil unbrauchbar! Sichert dort alle Daten, löscht das alte Profil und bei einer Neuanmeldung wird aus dem Ordner Default User das neue Profil erstellt. In der Regel ist das Default User Profil nicht vom Wurm befallen.

Möglichkeiten der Löschung:

AUF KEINEM FALL: mit dem Antir Rescue System, dieses benutzt die Virendefinitionen der Festplatte, welche bei Antivir vom Wurm verändert wurden!

Lösung: Koppicillin 6 herunterladen, auf eine CD brennen und den PC mit der CD booten.

Als Kernelparameter kann man mit 

1 autoscan mode=full

nichts falsch machen, jedoch werden nur die Viren protokolliert und nicht entfernt. “mode=full” bedeutet, dass wirklich alle Dateien gescannt werden, was bei den meisten Viren vorteilhaft ist, jedoch auch länger dauert.

Ich freue mich über Kommentare oder Verbesserungen, damit jeder daraus Nutzen ziehen kann.

“Conficker” – Wie kann ich mich schützen?

Dienstag, 20. Januar 2009

Wie Schütze ich mir vor diesem Wurm?

– einen Virenscanner mit aktueller Virusdefinitionsdatei
– im Microsoft Windows Betriebssystem immer die neusten Updates einspielen
– ein alternatives Betriebssystem benutzen (z.b. Linux oder Mac)

Übersicht

Type
Virus
SubType
Worm
Discovery Date
11/24/2008
Length
58,368 bytes
Minimum DAT
5444 (11/24/2008)
Updated DAT
5493 (01/12/2009)
Minimum Engine
5.2.00
Description Added
11/24/2008
Description Modified
01/06/2009 5:53 AM (PT)

Charakteristiken?

When executed, the worm copies itself using a random name to the %Sysdir% folder.

(Where %Sysdir% is the Windows system folder; e.g. C:\Windows\System32)

It modifies the following registry key to create a randomly-named service on the affected syetem:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\Parameters\”ServiceDll” = “Path to worm”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs

Attempts connections to one or more of the following websites to obtain the public ip address of the affected computer.
hxxp://www.getmyip.org
hxxp://getmyip.co.uk
hxxp://checkip.dyndns.org
hxxp://whatsmyipaddress.com

Attempts to download a malware file from the remote website: (Rogue Russian site is up but not serving file anymore)
hxxp://trafficconverter.biz/[Removed]antispyware/[Removed].exe

Starts a HTTP server on a random port on the infected machine to host a copy of the worm.

Continuously scans the subnet of the infected host for vulnerable machines and executes the exploit. If the exploit is successful, the remote computer will then connect back to the http server and download a copy of the worm.

Later variants of w32/Conficker.worm are using scheduled tasks and Autorun.inf file to replicate on to non vulnerable systems or to reinfect previously infected systems after they have been cleaned.

Symptome:

This symptoms of this detection are the files, registry, and network communication referenced in the characteristics section.

Users being locked out of directory

Access to admin shares denied

Scheduled tasks being created

Access to security related web sites is blocked.

Wie kann ich nach einer Infektion den Wurm beseitigen?

– Offline Scan mit Knoppicillin
– alternativ Offline Scan mit Antivir Rescue System