Admin’s Blog

Dieser Artikel soll eine kurze Zusammenfassung von Erkenntnissen sein, die ich in den letzen Tagen bei der Beseitigung des Conficker.B Wurms gewinnen konnte.

Es gibt/gab in den letzen Tagen viele widersprüchliche Aussagen zur Verbreitung/Entfernung des Conficker.B (Downadup) Wurms. Ich selbst wurde mit dem Problem oder besser mit den Folgen des Wurms am Dienstag den 13.01.09 konfrontiert.

Spürbar in dem Sinne, das plötzlich Benutzerkonten in der Domäne zeitweise gesperrt wurden, was durch zahlreiche Anmeldeversuche an diversen Domaincontrollern entstanden ist. Die Kennwortrichtlinie sperrte die betroffenen Konten, wie eingestellt, für einige Minuten wegen der fehlerhaften Anmeldedaten.

Durch die im Ereignisslog protokolierten Versuche, und die damit zu ermittelnde Ursprungsip(s) war schnell ein Rechner für die Ursachenforschung gefunden. Ein Scan und eine kurze Recherche bei diversen Antivirenherstellern, deckte die Vermuttung, das im Netz der Conficker.B unterwegs ist(war).

Nach Inspektion verschiedenster Systeme stand fest, das Systeme die

- aktuelle Microsoft Patches besitzen
- die Firewall aktiv haben
- starke Kennwörter besitzen (lokal/Domäne)
- keine administrative Freigabe (admin$) besitzen

sicher und somit nicht verseucht waren.

Systeme die vom Wurm befallen sind, versuchen sich über die selbe Schwachstelle (spezielle RPC Anfrage) [fehlender Security Bulletin MS08-067] auf in Netzwerk gefundene Rechner zu kopieren. Schlägt das fehl, wird versucht über die administrativen Freigaben auf den Zielrechner zu gelangen. Dabei werden eine Reihe von Benutzernamen/Kennwörter probiert, u.A auch gleicher Benutzername/Passwort. Desweiteren anscheinen eine rudimentäre Passwortliste.

Die Entfernung des Wurms erfolgte am sichersten mit folgenden Schritten:

- aktualisieren aller Patches (es gibt einen weiteren Patch vom 13.01.09 MS09-001, der nach meiner Meinung ähnliche Lücken schließt)

- administrative Freigabe entfernen (net share admin$ /D)

- MSRT von Microsoft herunterladen und Scan durchführen (MSRT)

- Virenscann mit aktueller Virensignatur durchführen

Mittlerweile sind die Hersteller von Antivirensoftware in der Lage diesen zu erkennen. Die Reaktionszeit für eine funktionierende Virensignatur war bei keinem der größeren Hersteller berauschend. Da waren Windows Live OneCare und Microsoft Forefront schneller. Und das zu sagen fällt mir (als Linuxlasstiger) nicht sehr leicht

Für Clientrechner benutzt man am besten eine Installationsroutine (Batchscript) beim Logon in die Domäne. Somit lässt sich das einspielen von Patches und MSRTleicht erledigen, oder besser falls vorhanden einen WSUS benutzen.

Das MSRT lässt sich auch jederzeit durch Eingabe von mrt in der Commandozeile starten.

Links:

Informationen zum Conficker.B/Downadup Wurm
Windows-Tool zum Entfernen bösartiger Software (MSRT)