Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Conficker in einem Netzwerk remote aufspüren und beseitigen

Anleitung Sicherheit Viren und Trojaner

Mitglied: Firestone3112

Firestone3112 (Level 1) - Jetzt verbinden

08.05.2009, aktualisiert 18.10.2012, 24942 Aufrufe, 13 Kommentare, 2 Danke

Der conficker scheint sehr flexibel zu sein und da ich keine Anleitung gefunden habe, wie man in einem Netzwerk von mehr als 200 Rechnern den Wurm auch vom eigenen Arbeitsplatz aus beseitigen kann ohne die Turnschuhe gewaltig abzunutzen, schreibe ich jetzt wie wir es in unserem Unternehmen ziehmlich entspannt vom Arbeitsplatz aus gemacht haben. Das Ganze war bei 450 Rechnern und 15 Servern (Win 2000 und WinXp) auch in c.a. 8 Stunden (und nicht wie bei anderen in Wochen) abgeschlossen.

Allgemeine Probleme bei uns:
Der Conficker Wurm richtet erst einmal keinen großen Schaden an, aber er versucht via BruteForce die Passworte von Usern zu hacken. Da die GPO nach fünfmaliger Eingabe eines falschen Passwortes den Account für 30 Minuten sperrt, sind somit permanent die Konten der AD User gesperrt.

Bekämpfung:
Wichtig ist m. E. erst einmal die infizierten Rechner ausfindig zu machen, um diese gezielt zu heilen. Die folgenden Schritte (also das Heilen) kann man auch remote erledigen (mittels RemoteDesktop oder DameWare etc.)

Mittels "Conficker Detection Tool" von McAfee sucht man die Subnetze nach infizierten Rechnern ab. Dann verbindet man sich auf den Rechner und beseitigt diesen mit dem "Tool zur Entfernung bösartiger Software (windows-kb890830-v2.9.exe)". Dann wird der Patch von MS für das entsprechende Betriebssystem installiert.

Manchmal schafft es das MS Tool allerdings nicht, den Wurm zu entfernen. Dies kann man zusätzlich mit dem Tool "Stinger" von McAfee überprüfen (muss man nicht ganz durchlaufen lassen, da gleich am Anfang die laufenden Prozesse und somit auch die services.exe überprüft werden).
Dann steckt der Conficker oftmals in der "c:\(WinNT/Windows)\system32\SERVICES.exe", welchen der Stinger auch nicht weg bekommt.
Zu erkennen ist die Infektion m. E. dadurch, dass der Dateiname groß geschrieben ist.
Diese "SERVICES.exe" kann man löschen, da sie vom System wieder neu und nicht infiziert angelegt wird.
Das Löschen ist allerdings nicht ganz so einfach, da sie im Zugriff ist.
Hier muss man das kleine Tool "Unlocker Portable" benutzen.
Unlocker starten, dann die Datei "SERVICES.exe" rechts klicken und auf "Unlocker" klicken.
Bei Aktion "Löschen" auswählen und OK klicken.
Nun wird die Meldung erscheinen, dass die Datei nicht sofort aber beim nächsten Neustart gelöscht werden kann. Dies bejaht man. (bei Prolemen erst mit dem Unlocker umbenennen, dann löschen)
Nach dem Neustart tauscht dann das System die "SERVICES.exe" gegen eine nicht infizierte "services.exe" aus.
(der conficker kann auch andere Prozesse, wie z.B. die svchost.exe, befallen aber das Vorgehen zur Bekämpfung ist genau wie oben beschrieben)


Da in einem Unternehmen nicht immer alle Rechner angeschaltet sind, muss man den Scan immer wieder mal laufen lassen.

Zum Schluss kann man noch mit dem Tool "Retina Network Scanner - Conficker Worm" das Netzwerk scannen. Einmal abgesehen davon, dass es nie schaden kann verschiedene Scanner laufen zu lassen, hat dieser den Vorteil, dass er anzeigt, welche Rechner im Netzwerk schon gepatcht sind und welche verletzbar bzw. ungepatcht sind.
Diese Info ist wichtig, da ja schon ein ungepatchter Rechner ausreicht um sich zu infizieren und dann wieder alle Userkonten zu sperren.

Links zu den Tools:
http://portableappz.blogspot.com/2008/05/portable-unlocker-187-multilan ...
http://www.microsoft.com/downloads/details.aspx?info=EXLINK&display ...
http://www.chip.de/downloads/McAfee-AVERT-Stinger-Conficker_35940896.ht ...
http://www.mcafee.com/us/enterprise/confickertest.html
http://www.eeye.com/html/products/retina/download_short/index.html
---> Hier gehts zur Diskussionsrunde... <----
Dani - 10.05.2009 22:36 Uhr
Ich habe mir erlaubt, die Diskussionen zu löschen...denn diese haben zwar indirekt mit der Anleitung zu tun tragen aber nichts bei. Bitte nächstes mal per PN oder eben einen Beitrag schreiben!
Ohh...außversehen zu viele Kommentare gelöscht. Werden die nächsten Stunden wiederhergestellt!!
Mitglied: mrtux
08.05.2009 um 13:59 Uhr
Hi !

Zitat von Firestone3112:
Diese Info ist wichtig, da ja schon ein ungepatchter Rechner

Ich kann das Thema gepatcht oder ungepacht gar nicht nachvollziehen, in meinen Netzen gibt es keine ungepatchten Systeme. Treten nach dem Patchen Probleme auf, fliegt die Kiste aus dem Netz und wird notfalls (von Hand falls erforderlich) neu aufgesetzt.

Ungepatchte Systeme, so eine Nachlässigkeit rächt sich gnadenlos.

Sorry aber es ist eine Tatsache und ich würde sogar soweit gehen und behaupten, wer seine Systeme nicht patcht und kontrolliert, handelt von leichtsinnig bis grob fahrlässig. Was spricht gegen das Patchen ?

Danke für Deine Anleitung sie ist sehr interessant. Ich habe aber keine Probleme mit Malware, da passe ich auf wie ein Luchs.

mrtux
Bitte warten ..
Mitglied: 60730
08.05.2009 um 14:25 Uhr
Hi,

ein paar kleine Tipps

  • wenn du eine Anleitung schreibst und Tools nennst, ist es "cool", wenn du Ross und Reiter nennst.

Schau dir auch mal die Formatierungshilfe an.
z.B Stinger download... usw.

Gruß
Bitte warten ..
Mitglied: 2hard4you
08.05.2009 um 19:47 Uhr
Moin,


bei 450 PCs sollte eine zentral administrierbare Antivirensoftware (ePO oder anderes) und ein vernünftiges Patchmanagement (WSUS etc.) Pflicht sein - da kannst Du dann ganz entspannt Logs/Reports lesen und Dir Deine Pappenheimer vornehmen und ggf. *zwangspatchen*

.... dann klappt es auch mit Malware etc.

24
Bitte warten ..
Mitglied: Firestone3112
08.05.2009 um 21:01 Uhr
schön anzuschauen, wie schlau hier alle sind.
Wie der Name Anleitung schon sagt, ist es eine Anleitung für Leute, welche eine Anleitung benötigen.
Ich hätte es auch lassen können aber ich dachte eine "virtuelle Gemeinschaft" wäre da, um einander zu helfen und nicht vom Besserwissern agitiert zu werden. Da kann ich nur das gleichnamige Buch von Howard Rheingold empfehlen. Wer keine Anleitung braucht, braucht sie doch nicht lesen. Und schon gar nicht nur um sich hervorzuheben und mitzuteilen was eh jeder weiß.
Davon ganz abgesehen kann keiner die Situation des Unternehmens einschätzen.
Ein Domänenwechsel lässt einen bspw. schon mal dazu verleiten, zu meinen, das man für die letzten paar Rechner nicht noch so tief in die Tasche greifen muss (zumal die IT nicht immer über das Budget entscheidet). Aber wie gesagt, hinterher schlau daher zu reden ist nicht besonders klug.
Das ist einfach Verschwendung oder diskutiert Ihr auch stundenlang darüber, das Rauchen ja so schädlich ist, wenn einer Eurer Angehörigen an Lungenkrebs stirbt oder wie dumm doch einer ist, der einen Herzinfarkt hat, obwohl doch jeder weiß, dass wenig Stress, kein fettes Essen und viel Sport besser gewesen wäre?
Das ist wirklich schlau...

Wollte einfach nur denen helfen, die (aus welchem Grund auch immer) in solch eine Situation gekommen sind und NICHT eine Diskusion über eben diesen Grund führen.
Bitte warten ..
Mitglied: 2hard4you
08.05.2009 um 21:06 Uhr
Moin,

hier will keiner die Situation Deines Unternehmens oder Deine Rauchgewohnheiten beurteilen...

aber

in solch einer schon mittelgroßen Umgebung sollten genau solche Policies beachtet werden, damit nicht die IT ausfällt, und die Firma damit Schaden hat...

24

*edit* - Frag einfach mal Deinen Chef, was es die Firma kostet, wenn keiner eine Woche (Tag/Stunde - je nach Firmengröße) nicht arbeiten kann - IT-Ausfall - und dann leg Angebote daneben - für AV etc. - der nimmt sofort an

und danach frage den, was der mit Mitarbeitern macht, die sowas verursacht haben - Du darfste dem die nächste Managementmail sicher vorschreiben, was an der IT alles zu beachten ist....

^^
Bitte warten ..
Mitglied: Firestone3112
08.05.2009 um 21:27 Uhr
das weiss doch aber jeder.
Wozu ewig über eine ANLEITUNG diskutieren?
Ich hätte doch einen Forum Beitrag geschrieben wenn ich den Grund hätte diskutieren wollen.
WENN es einen erwischt haben sollte, dann hilft ihm doch solch ein Hinweis aber auch absolut gar nichts, oder? Dann braucht er nur eins, sofort eine Anleitung wie er den Wurm wieder los wird.
Und der findet dann auch genau wegen solch zahlloser Diskusionen auf die Schnelle nicht die Infos, welche er braucht.
Danach ist er dann genau so schlau und kann sich in Diskusionsrunden belesen wie er es das nächste mal besser mach bzw. vorbeugt.

Schreibt doch lieber ein paar produktive Hinweise zum Thema "conficker loswerden" und diskutiert an passender Stelle über "conficker vorbeugen" und zwar genau dort wo man diese Infos auch sucht und benötigt.

BG
Bitte warten ..
Mitglied: 2hard4you
08.05.2009 um 21:31 Uhr
Conficker und Konsorten vermeiden ist zielführend...
Bitte warten ..
Mitglied: Firestone3112
08.05.2009 um 21:53 Uhr
Da muss ich Dir Recht geben, nur hat das nichts mit einer Anleitung zum Bekämpfen zu tun.
Wie gesagt, an anderer Stelle besser aufgehoben. Der Tip von TimoBeil ist bspw. zielführende Kritik.

@TimoBeil
Das stimmt, ich werde die Links zu den Tools noch hinzufügen. War etwas schnell zusammengeschrieben weil ich dachte das es schnell veröffentlicht werden sollte. Andere schreiben immer von wochenlangem Stress nach Infektion und bei uns ging es wie o.g. ziehmlich schnell. (zugegeben, der Adrenalinspiegel war schon etwas höher

BG
Bitte warten ..
Mitglied: Firestone3112
10.05.2009, aktualisiert 18.10.2012
So, jetzt noch einmal etwas zum mit diskutieren, da es offensichtlich doch noch etwas zu den Gründen der Infektion zu sagen gibt.

http://www.administrator.de/forum/ms-hotfixes-vs.-mpg-115698.html

BG

Fire
Bitte warten ..
Mitglied: Firestone3112
10.05.2009 um 22:44 Uhr
@TimoBeil
Das stimmt, ich werde die Links zu den Tools noch hinzufügen. War etwas schnell zusammengeschrieben weil ich dachte das es schnell veröffentlicht werden sollte. Andere schreiben immer von wochenlangem Stress nach Infektion und bei uns ging es wie o.g. ziehmlich schnell. (zugegeben, der Adrenalinspiegel war schon etwas höher

BG
Bitte warten ..
Mitglied: maddoc
19.05.2009 um 00:00 Uhr
Also ich finde die Anleitung gut und alles sagend was man zum entfernen in dieser Situation braucht und machen muss. Danke dir, werde mir gleich die Tools herunterladen um gewappnet zu sein wenns passieren sollte.

Gruß Oli
Bitte warten ..
Mitglied: jumilla
13.06.2009 um 07:34 Uhr
Es gibt auch Netzwerke (Medizin z.B.) auf denen Spezialanwendungen laufen und wo die Softwareentwickler Patches abnicken müssen. Die Testphase kann Monate dauern. Da kann man nicht einfach immer alles patchen.
Bitte warten ..
Mitglied: Firestone3112
13.06.2009, aktualisiert 18.10.2012
Hallo jumilla,

da hast Du Recht und genau das habe ich auch als Argument gebracht, leider hat Dani (an dieser Stelle zu Recht) eingegriffen und nun ist Deine Antwort leider zwischen die anderen geraten. Diese jetzt natürlich auch.

Habe aber einen anderen Thread eröffnet:

http://www.administrator.de/forum/ms-hotfixes-vs.-mpg-115698.html

Beste Grüße.

Fire
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (4)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (8)

Frage von michmeie zum Thema Monitoring ...

Windows Server
Windows Remote App - Ausgabe in lokales Office (1)

Frage von fluluk zum Thema Windows Server ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...