beckslevel91
Goto Top

Conficker beseitigen

Da ich mit diesem Virus mehrere Wochen meinen Spaß hatte, möchte ich nun einige persönliche Erfahrungswerte veröffentlichen..

Beiseitigen des Conficker-Virus'

Als erstes gilt es, einige Dinge zu Wissen, bzw. Vorrausetzungen zu schaffen:
- Ihr müsst Administratorrechte haben
- Ist der Conficker in einem Netzwerk aufgetreten?
- Um welche Conficker Variante(n) handelt es sich (Symptome)?

Sollte der Conficker ein einem Netzwerk aufgetreten sein, ist es DRINGEND erforderlich, die einzelnen Clients von einander zu trennen!
Bei mehreren IP-Adressbereichen, bzw. großen Abteilungen sollten Sie sofort alle Bereiche am Knotenpunkt vom Netz nehmen.

Nun ist es wichtig, zu wissen, ober der Server infiziert ist. Wenn Ja, hilft möglichweise eine Zurücksicherung, der Daten.

Welche Conficker Variante ist es?

Da wir in unserem Netz so ziemlich alle derzeit bekannten Varianten vertreten hatten (A-E), half es nicht, den Virus zu löschen, da er das System bereits komplett zerstört hatte.
Eine Conficker Variante erkennt Ihr vor allem daran, wenn nach einiger Zeit euere Dienste nicht mehr laufen (Designs, DHCP, Server, DNS, etc.) und sich auch nicht mehr starten lassen:
Fehler 1068 & Fehler 1053. Außerdem gibt es einige Varianten die den Zugriff auf SSL-Verschlüsselte Webseiten blockieren (https://), wobei Ihr hierbei nur das "s" entfernen müsst, um die Seite anzuzeigen.
Sollten diese Symptome auftreten, seit Ihr mit ziemlicher Sicherheit infiziert. Wenn der Server nun die Dienste verweigert, muss dieser neu aufgesetzt werden. Hierbei ist es wichtig nur das nötigste zurückzusichern, da, wenn Ihr nicht wisst, seit wann der Conficker in Euerem Netzwerk schlummert, er einige Dateien infiziert haben kann.

Nun solltet Ihr Euch einen Plan schaffen, wie Ihr schnell und effizient vorgeht! Ich empfehle für jeden Herstellertyp der vertretenen Clients, einige Backup-CD's (Images) mit dem Betriebssystem und wichtigen Programmen sowie den aktuellen Sicherheitsupdates von Microsoft (sehr wichtig!!) und dem aktuellsten AntiViren Programm zu erstellen und die Offline geschalteten Clients neu aufsetzen. Des weiteren ist es wichtig, da die Verbreitung meist über Wechseldatenträger wie USB-Sticks und externe Festplatten verläuft, den Usern mitzuteilen, dass diese vorher geprüft werden müssen, bzw. komplett zu untersagen (z.B. durch Gruppenrichtlinien am Server).

So sieht der Virus aus:
Ob Ihr einen Infizierten Wechseldatenträger habt erkennt Ihr u. U. an folgenden Symptomen:
- Autorun.inf zeigt den Wechseldatenträger als Ordner an (möglicherweise Variante E.)
- Ein versteckter "Recycler" Ordner wird auf dem Datenträger angelegt (Diesen unbedingt löschen, ebenso wie die Autorun.inf)
- AntiViren System bringt eine Meldung beim einstecken des Datenträgers: "Trojander/Virus Crypt.Gen o. Ä. gefunden)

Der Virus erstellt bei infizierten Clients auch auf den Partitionen einen versteckten "Recycler" Ordner bzw. schreibt dort hinein. (Achtung, wenn Ihr auf der jeweiligen Partition eine Datei in den Papierkorb verschiebt, wird von Windows standardmäßig auch ein versteckter "Recycler" Ordner erstellt, weshalb dies nicht zwingend auf einen Virus hinweist!!)

Es ist in jedem Fall auch erforderlich, die externen USB-Datenträger und Partitionen zu formatieren!

So prüft Ihr einen USB-Stick:
Steckt den USB-Stick bei gedrückter linker Shift-Taste an (dies unterdrückt den Autostart, über den der Virus auf den Datenträger gelangt!).
Nun öffnet Ihn via Rechtsklick->Öffnen über den Arbeitsplatz. Falls noch nicht getan, über Extras->Ordneroptionen...->Ansicht-> folgende Hacken entfernen:
- Geschützte Systemdateien ausblenden (empfohlen)
Nun markiert Ihr noch:
- Alle Dateien und Ordner anzeigen

Eine weitere Sicherheitslücke über die sich der Conficker in Windows Netzwerken verbreitet, sind Netzwerkfreigaben und Netzlaufwerkverbindungen zum Server von den Clients, sowie eine Windows Domäne.

Ich empfehle einen Linux Server als Virtuelle Maschine laufen zu lassen, und dort die Dateien zurückzusichern, da Linux nicht für den Conficker anfällig ist!

Nun von den Clients aus über eine Batch-Datei im "AllUsers->Autostart" (Befehl: net use x: /delete und net use s: \\server\ordner) mit den Laufwerken verbinden. Dies sichert eine Weiterverbreitung über Netzlaufwerke. Wichtig ist allerdings bei einem Linuxserver, dass Ihr statt wie in Windows nicht "//" sondern "\\" verwendet. Außerdem spielt hierbei nun die Groß- und Kleinschreibung eine wesentliche Rolle.

Sollten alle Clients neu installiert (mit den neuesten Windows Sicherheitsupdates) können diese nun bei einem nicht-infizierten Server ans Netz gebracht werden.

Wichtig ist nur, dass wirklich KEIN Client vergessen wird (!!) sonst könnt Ihr möglicherweise von Vorne beginnen!

Tipp:
Auch Netzwerkdrucker würde ich über einen Linux Server verwalten, da dies wesentlich unkomplizierter und sicherer ist!

Ich hoffe, diese Anleitung konnte euch zu mindest ein wenig weiterhelfen.

Bei Fragen und Anregungen wäre ich für ein Feedback dankbar!


Mit freundlichen Grüßen,

J.R.

Content-Key: 114920

Url: https://administrator.de/contentid/114920

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: mrtux
mrtux 29.04.2009 um 13:08:47 Uhr
Goto Top
Hi !

Zitat von @beckslevel91:
Beiseitigen des Conficker-Virus'

Ja, hilft möglichweise eine Zurücksicherung, der Daten.
zurückzusichern, da, wenn Ihr nicht wisst, seit wann der
Conficker in Euerem Netzwerk schlummert, er einige Dateien infiziert
haben kann.

Tja das ist das Problem, wenn der Virus nicht rechtzeitig erkannt wird.

Betriebssystem und wichtigen Programmen sowie den aktuellen
Sicherheitsupdates von Microsoft (sehr wichtig!!) und dem aktuellsten

Würden die immer installiert, würde es mit Viren meist gar nicht erst soweit kommen.

geprüft werden müssen, bzw. komplett zu untersagen (z.B.
durch Gruppenrichtlinien am Server).

Eine gute Idee face-smile

Eine weitere Sicherheitslücke über die sich der Conficker
in Windows Netzwerken verbreitet, sind Netzwerkfreigaben und
Netzlaufwerkverbindungen zum Server von den Clients, sowie eine
Windows Domäne.

Das heisst also nur noch Linux verwenden, oder ? face-smile

Ich empfehle einen Linux Server als Virtuelle Maschine laufen zu
lassen, und dort die Dateien zurückzusichern, da Linux nicht
für den Conficker anfällig ist!

Kein Linux System ist für einen Windows Virus anfällig und umgekehrt, ausser der Virenentwickler hat für beide System einen eigenen und angepassten Virus entwickelt, denn die Systeme sind zu unterschiedlich.

allerdings bei einem Linuxserver, dass Ihr statt wie in Windows nicht
"//" sondern "\\" verwendet. Außerdem spielt
hierbei nun die Groß- und Kleinschreibung eine wesentliche
Rolle.

Das sind Grundkenntnisse, die jeder wissen sollte der sich Admin nennt und dann auch noch Firmennetze betreut !

Auch Netzwerkdrucker würde ich über einen Linux Server
verwalten, da dies wesentlich unkomplizierter und sicherer ist!

Das ist völliger Blödsinn, hast Du Angst, dass die Druckerfirmware infiziert wird und die Drucker dann ala "Poltergeist" völlig austicken ?

So schlecht wie Du hier schreibst ist Windows nicht, wenn bestimmte Grundregeln der Sicherheit einfach nicht beachtet werden, kann ein OS noch so sicher sein, es wird trotzdem Ärger geben. Was nützen komplizierte Passwörter, wenn ein Superheld die mittels gelben Notes an den Bildschirm pappt. Der Benutzer stellt meist immer noch die grösste Gefahr dar, deshalb müssen die Benutzer auf das Thema Sicherheit geschult werden, was aber meist aus Kostengründen nicht gemacht wird.

Ich hoffe, diese Anleitung konnte euch zu mindest ein wenig
weiterhelfen.

Die meisten Deiner Angaben sind Standardvorgehensweisen, die bei jedem Virenbefall gelten. Besser ist, einige Grundregeln zu beachten um einen Virenbefall zu vermeiden:

1. Antivensoftware immer aktuell halten.
2. Windows Updates durchführen (lassen), auch andere Programme aktuell halten.
3. Die Benutzer immer mit Benutzerrechten arbeiten lassen, deswegen heissen die so face-smile
4. Die Benutzer auf das Thema Sicherheit unterweisen und Schulen !!!!
5. Keine privaten USB-Sticks oder Platten ans Netz lassen.
6. Keine unnötigen Ports an der Firewall öffnen, am besten keine öffnen.
7. ....
8. ....
9. ....
usw.

Das sind Grundkenntnisse, wenn zumindest diese beachtet werden, dann musst Du keine Angst vor Viren haben. Ich hatte in den letzten 10 Jahren keinen einzigen Virenbefall in von mir eingerichteten Netzen. Ich denke einfach, viele unterschätzen das Thema Sicherheit. Ein Computer ist halt kein Fernseher, den man einschaltet, das Gehirn in den Standby fährt und sich dann das Programm von RTL in den Kopf rieseln lässt.

mrtux
Mitglied: beckslevel91
beckslevel91 29.04.2009 um 14:07:30 Uhr
Goto Top
Hey,

Wegen dem Druckserver, geht es mir mehr um den Server als um die Drucker face-smile

Kein Linux System ist für einen Windows Virus anfällig und
umgekehrt, ausser der Virenentwickler hat für beide System einen
eigenen und angepassten Virus entwickelt, denn die Systeme sind zu
unterschiedlich.

Dessen bin ich mir bewusst

4. Die Benutzer auf das Thema Sicherheit unterweisen und Schulen
!!!!
5. Keine privaten USB-Sticks oder Platten ans Netz lassen.

- Das Thema sicherheit ist den meisten Usern so ziemlich egal, denn wenn was nicht funktioniert kümmert sich eh jemand anderes darum. Glaubst Du ernsthaft ein Mitarbeiter in einer Kantine der 1 mal Wöchentlich seinen Speiseplan ausdruckt, interessiert sich dafür, wie er seinen Computer sicher und Virenfrei hält, oder lässt sich vorschreiben wie sein Passwort auszusehen hat, dass er sich dann noch merken soll? Nein, aber wenn man Ihn nicht schult, wen dann, denn dafür trägt jeder User Verantwortung (zumindest für ein sicheres Kennwort..)

- Das lässt sich leider nicht immer realisieren


Ich finde nicht das Windows schlecht ist, nur das Microsoft definitiv eine Vielzahl an Sicherheitslücken erst zu spät erkannt und behoben hat. Natürlich nicht nur Linux verwenden, das wäre nutzlos weil Windows einfach Benutzerfreundlicher ist und auch mehr Individualsoftware unterstützt als Linux.

Gruß,

J.R.
Mitglied: 83249
83249 28.09.2009 um 14:30:21 Uhr
Goto Top
Fazit
setzt den Rechner neu auf
Ist die leichteste Variante.

Gruß
SO