Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Conficker beseitigen

Anleitung Sicherheit Viren und Trojaner

Mitglied: beckslevel91

beckslevel91 (Level 1) - Jetzt verbinden

29.04.2009, aktualisiert 08:32 Uhr, 15123 Aufrufe, 3 Kommentare, 1 Danke

Da ich mit diesem Virus mehrere Wochen meinen Spaß hatte, möchte ich nun einige persönliche Erfahrungswerte veröffentlichen..

Beiseitigen des Conficker-Virus'

Als erstes gilt es, einige Dinge zu Wissen, bzw. Vorrausetzungen zu schaffen:
- Ihr müsst Administratorrechte haben
- Ist der Conficker in einem Netzwerk aufgetreten?
- Um welche Conficker Variante(n) handelt es sich (Symptome)?

Sollte der Conficker ein einem Netzwerk aufgetreten sein, ist es DRINGEND erforderlich, die einzelnen Clients von einander zu trennen!
Bei mehreren IP-Adressbereichen, bzw. großen Abteilungen sollten Sie sofort alle Bereiche am Knotenpunkt vom Netz nehmen.

Nun ist es wichtig, zu wissen, ober der Server infiziert ist. Wenn Ja, hilft möglichweise eine Zurücksicherung, der Daten.

Welche Conficker Variante ist es?

Da wir in unserem Netz so ziemlich alle derzeit bekannten Varianten vertreten hatten (A-E), half es nicht, den Virus zu löschen, da er das System bereits komplett zerstört hatte.
Eine Conficker Variante erkennt Ihr vor allem daran, wenn nach einiger Zeit euere Dienste nicht mehr laufen (Designs, DHCP, Server, DNS, etc.) und sich auch nicht mehr starten lassen:
Fehler 1068 & Fehler 1053. Außerdem gibt es einige Varianten die den Zugriff auf SSL-Verschlüsselte Webseiten blockieren (https://), wobei Ihr hierbei nur das "s" entfernen müsst, um die Seite anzuzeigen.
Sollten diese Symptome auftreten, seit Ihr mit ziemlicher Sicherheit infiziert. Wenn der Server nun die Dienste verweigert, muss dieser neu aufgesetzt werden. Hierbei ist es wichtig nur das nötigste zurückzusichern, da, wenn Ihr nicht wisst, seit wann der Conficker in Euerem Netzwerk schlummert, er einige Dateien infiziert haben kann.

Nun solltet Ihr Euch einen Plan schaffen, wie Ihr schnell und effizient vorgeht! Ich empfehle für jeden Herstellertyp der vertretenen Clients, einige Backup-CD's (Images) mit dem Betriebssystem und wichtigen Programmen sowie den aktuellen Sicherheitsupdates von Microsoft (sehr wichtig!!) und dem aktuellsten AntiViren Programm zu erstellen und die Offline geschalteten Clients neu aufsetzen. Des weiteren ist es wichtig, da die Verbreitung meist über Wechseldatenträger wie USB-Sticks und externe Festplatten verläuft, den Usern mitzuteilen, dass diese vorher geprüft werden müssen, bzw. komplett zu untersagen (z.B. durch Gruppenrichtlinien am Server).

So sieht der Virus aus:
Ob Ihr einen Infizierten Wechseldatenträger habt erkennt Ihr u. U. an folgenden Symptomen:
- Autorun.inf zeigt den Wechseldatenträger als Ordner an (möglicherweise Variante E.)
- Ein versteckter "Recycler" Ordner wird auf dem Datenträger angelegt (Diesen unbedingt löschen, ebenso wie die Autorun.inf)
- AntiViren System bringt eine Meldung beim einstecken des Datenträgers: "Trojander/Virus Crypt.Gen o. Ä. gefunden)

Der Virus erstellt bei infizierten Clients auch auf den Partitionen einen versteckten "Recycler" Ordner bzw. schreibt dort hinein. (Achtung, wenn Ihr auf der jeweiligen Partition eine Datei in den Papierkorb verschiebt, wird von Windows standardmäßig auch ein versteckter "Recycler" Ordner erstellt, weshalb dies nicht zwingend auf einen Virus hinweist!!)

Es ist in jedem Fall auch erforderlich, die externen USB-Datenträger und Partitionen zu formatieren!

So prüft Ihr einen USB-Stick:
Steckt den USB-Stick bei gedrückter linker Shift-Taste an (dies unterdrückt den Autostart, über den der Virus auf den Datenträger gelangt!).
Nun öffnet Ihn via Rechtsklick->Öffnen über den Arbeitsplatz. Falls noch nicht getan, über Extras->Ordneroptionen...->Ansicht-> folgende Hacken entfernen:
- Geschützte Systemdateien ausblenden (empfohlen)
Nun markiert Ihr noch:
- Alle Dateien und Ordner anzeigen

Eine weitere Sicherheitslücke über die sich der Conficker in Windows Netzwerken verbreitet, sind Netzwerkfreigaben und Netzlaufwerkverbindungen zum Server von den Clients, sowie eine Windows Domäne.

Ich empfehle einen Linux Server als Virtuelle Maschine laufen zu lassen, und dort die Dateien zurückzusichern, da Linux nicht für den Conficker anfällig ist!

Nun von den Clients aus über eine Batch-Datei im "AllUsers->Autostart" (Befehl: net use x: /delete und net use s: \\server\ordner) mit den Laufwerken verbinden. Dies sichert eine Weiterverbreitung über Netzlaufwerke. Wichtig ist allerdings bei einem Linuxserver, dass Ihr statt wie in Windows nicht "//" sondern "\\" verwendet. Außerdem spielt hierbei nun die Groß- und Kleinschreibung eine wesentliche Rolle.

Sollten alle Clients neu installiert (mit den neuesten Windows Sicherheitsupdates) können diese nun bei einem nicht-infizierten Server ans Netz gebracht werden.

Wichtig ist nur, dass wirklich KEIN Client vergessen wird (!!) sonst könnt Ihr möglicherweise von Vorne beginnen!

Tipp:
Auch Netzwerkdrucker würde ich über einen Linux Server verwalten, da dies wesentlich unkomplizierter und sicherer ist!

Ich hoffe, diese Anleitung konnte euch zu mindest ein wenig weiterhelfen.

Bei Fragen und Anregungen wäre ich für ein Feedback dankbar!


Mit freundlichen Grüßen,

J.R.
Mitglied: mrtux
29.04.2009 um 13:08 Uhr
Hi !

Zitat von beckslevel91:
Beiseitigen des Conficker-Virus'

Ja, hilft möglichweise eine Zurücksicherung, der Daten.
zurückzusichern, da, wenn Ihr nicht wisst, seit wann der
Conficker in Euerem Netzwerk schlummert, er einige Dateien infiziert
haben kann.

Tja das ist das Problem, wenn der Virus nicht rechtzeitig erkannt wird.

Betriebssystem und wichtigen Programmen sowie den aktuellen
Sicherheitsupdates von Microsoft (sehr wichtig!!) und dem aktuellsten

Würden die immer installiert, würde es mit Viren meist gar nicht erst soweit kommen.

geprüft werden müssen, bzw. komplett zu untersagen (z.B.
durch Gruppenrichtlinien am Server).

Eine gute Idee

Eine weitere Sicherheitslücke über die sich der Conficker
in Windows Netzwerken verbreitet, sind Netzwerkfreigaben und
Netzlaufwerkverbindungen zum Server von den Clients, sowie eine
Windows Domäne.

Das heisst also nur noch Linux verwenden, oder ?

Ich empfehle einen Linux Server als Virtuelle Maschine laufen zu
lassen, und dort die Dateien zurückzusichern, da Linux nicht
für den Conficker anfällig ist!

Kein Linux System ist für einen Windows Virus anfällig und umgekehrt, ausser der Virenentwickler hat für beide System einen eigenen und angepassten Virus entwickelt, denn die Systeme sind zu unterschiedlich.

allerdings bei einem Linuxserver, dass Ihr statt wie in Windows nicht
"//" sondern "\\" verwendet. Außerdem spielt
hierbei nun die Groß- und Kleinschreibung eine wesentliche
Rolle.

Das sind Grundkenntnisse, die jeder wissen sollte der sich Admin nennt und dann auch noch Firmennetze betreut !

Auch Netzwerkdrucker würde ich über einen Linux Server
verwalten, da dies wesentlich unkomplizierter und sicherer ist!

Das ist völliger Blödsinn, hast Du Angst, dass die Druckerfirmware infiziert wird und die Drucker dann ala "Poltergeist" völlig austicken ?

So schlecht wie Du hier schreibst ist Windows nicht, wenn bestimmte Grundregeln der Sicherheit einfach nicht beachtet werden, kann ein OS noch so sicher sein, es wird trotzdem Ärger geben. Was nützen komplizierte Passwörter, wenn ein Superheld die mittels gelben Notes an den Bildschirm pappt. Der Benutzer stellt meist immer noch die grösste Gefahr dar, deshalb müssen die Benutzer auf das Thema Sicherheit geschult werden, was aber meist aus Kostengründen nicht gemacht wird.

Ich hoffe, diese Anleitung konnte euch zu mindest ein wenig
weiterhelfen.

Die meisten Deiner Angaben sind Standardvorgehensweisen, die bei jedem Virenbefall gelten. Besser ist, einige Grundregeln zu beachten um einen Virenbefall zu vermeiden:

1. Antivensoftware immer aktuell halten.
2. Windows Updates durchführen (lassen), auch andere Programme aktuell halten.
3. Die Benutzer immer mit Benutzerrechten arbeiten lassen, deswegen heissen die so
4. Die Benutzer auf das Thema Sicherheit unterweisen und Schulen !!!!
5. Keine privaten USB-Sticks oder Platten ans Netz lassen.
6. Keine unnötigen Ports an der Firewall öffnen, am besten keine öffnen.
7. ....
8. ....
9. ....
usw.

Das sind Grundkenntnisse, wenn zumindest diese beachtet werden, dann musst Du keine Angst vor Viren haben. Ich hatte in den letzten 10 Jahren keinen einzigen Virenbefall in von mir eingerichteten Netzen. Ich denke einfach, viele unterschätzen das Thema Sicherheit. Ein Computer ist halt kein Fernseher, den man einschaltet, das Gehirn in den Standby fährt und sich dann das Programm von RTL in den Kopf rieseln lässt.

mrtux
Bitte warten ..
Mitglied: beckslevel91
29.04.2009 um 14:07 Uhr
Hey,

Wegen dem Druckserver, geht es mir mehr um den Server als um die Drucker

Kein Linux System ist für einen Windows Virus anfällig und
umgekehrt, ausser der Virenentwickler hat für beide System einen
eigenen und angepassten Virus entwickelt, denn die Systeme sind zu
unterschiedlich.

Dessen bin ich mir bewusst

4. Die Benutzer auf das Thema Sicherheit unterweisen und Schulen
!!!!
5. Keine privaten USB-Sticks oder Platten ans Netz lassen.

- Das Thema sicherheit ist den meisten Usern so ziemlich egal, denn wenn was nicht funktioniert kümmert sich eh jemand anderes darum. Glaubst Du ernsthaft ein Mitarbeiter in einer Kantine der 1 mal Wöchentlich seinen Speiseplan ausdruckt, interessiert sich dafür, wie er seinen Computer sicher und Virenfrei hält, oder lässt sich vorschreiben wie sein Passwort auszusehen hat, dass er sich dann noch merken soll? Nein, aber wenn man Ihn nicht schult, wen dann, denn dafür trägt jeder User Verantwortung (zumindest für ein sicheres Kennwort..)

- Das lässt sich leider nicht immer realisieren


Ich finde nicht das Windows schlecht ist, nur das Microsoft definitiv eine Vielzahl an Sicherheitslücken erst zu spät erkannt und behoben hat. Natürlich nicht nur Linux verwenden, das wäre nutzlos weil Windows einfach Benutzerfreundlicher ist und auch mehr Individualsoftware unterstützt als Linux.

Gruß,

J.R.
Bitte warten ..
Mitglied: 83249
28.09.2009 um 14:30 Uhr
Fazit
setzt den Rechner neu auf
Ist die leichteste Variante.

Gruß
SO
Bitte warten ..
Ähnliche Inhalte
Webbrowser
Firefox 56 mit beseitigtem IndexDB-Bug und Screenshot-Tool

Information von BassFishFox zum Thema Webbrowser ...

Windows 10
gelöst Windows 10 kein internetzugriff wird angezeigt trotz Internet (3)

Frage von fensterbauer zum Thema Windows 10 ...

Mac OS X
OSX Freigabe ändert Pfadinhalt

Frage von tomino zum Thema Mac OS X ...

Erkennung und -Abwehr
Sicherheitssoftware in euren Unternehmen! (13)

Frage von Hendrik2586 zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Viren und Trojaner

Neues Botnetz über IoT-Geräte

Information von certifiedit.net zum Thema Viren und Trojaner ...

Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Externe IP von innen erreichbar machen (15)

Frage von Windows10Gegner zum Thema Router & Routing ...

Windows Installation
Windows 10 neu installieren (12)

Frage von imebro zum Thema Windows Installation ...

Windows Server
Frage zu Server Rack (11)

Frage von rainergugus zum Thema Windows Server ...