Virus Conficker (Downadup) Hilfe

Neue Gefahren, 15.04.2009

Wie erkennt man, ob Conficker installiert ist?
Den Befall mit dem Conficker-Wurm erkennen Sie daran, dass keine Updates für die Antivirenlösung und Windows mehr möglich sind. Auch den Aufruf etwa von www.microsoft.com blockiert der Schädling. G-Data weist zudem darauf hin, dass Conficker zufällige Zeichenfolgen als Dateinamen verwendet. Dadurch wird es schwierig, die Dateien zu finden. Er registriert sich als Systemdienst mit zufälligem Namen. Netzwerkadministratoren erkennen infizierte Rechner am erhöhten Traffic auf Port 445. An diesen Stellen wird die Registry modifiziert:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [Zufälliger Name für den Dienst] Image Path = "%System Root%\system32\svchost.exe -k netsvcs"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Zufälliger Name für den Dienst]\ParametersServiceDll = "[Pfad und Dateiname der Malwaredatei]"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

    Die Kollegen von Heise Security haben einen Schnelltest für Conficker B und C adaptiert. Mit diesem Test kann allerdings nicht Conficker A erkannt werden, dessen Verbreitung allerdings auch gering ist. Rufen Sie diese Heise Security-Webseite auf. Wenn nur die Logos der Sicherheitsfirmen nicht angezeigt werden, ist Ihr System mit Conficker B oder C infiziert. Entsprechende Entfernungssoftware finden Sie rechts "bei den links".

    Wie kann man Conficker wieder entfernen?
    Die Empfehlungen der Sicherheitsexperten gehen auseinander. Während Heiko Brückle (Direktor Training & Consulting Panda Security) einen Onlinescan mit ActiveScan empfiehlt, befürwortet Avira den Einsatz einer Rescue-CD: "Es gibt sie in zwei Ausführungen: Einmal als .iso-Datei zum Wegbrennen mit bereits vorhandener CD-Brennsoftware und einmal als ausführbare Datei, die ein kleines Brennprogramm mitbringt. Die gebrannte Rescue-CD müssen Anwender in das CD-Laufwerk einlegen und den Rechner neu starten. Dadurch startet ein minimales Linux-System von der CD, das den Avira-Virenscanner mit einer einfachen grafischen Oberfläche bereitstellt. Damit gelingt dann die Untersuchung des Rechners und die Entfernung von Conficker. Danach sind noch weitere Reparaturen am System empfehlenswert, da Conficker einige Registry-Einträge verbiegt und so etwa den Aufruf des abgesicherten Modus von Windows verhindert."