Kampf dem Conficker-Wurm

Essentielle Tipps für Netzwerk-Verwalter

24.02.2009
Uli Ries ist freier Journalist in München.
Anzeige  Nachdem sich der Wurm Conficker nach wie vor verbreitet, sind offenbar noch zu wenige Unternehmensnetze geschützt. Dabei lassen sich Unternehmens-PCs und -Server in nur fünf Schritten vor dem grassierenden Conficker-Wurm absichern. Auch die Desinfektion infizierter Rechner ist vergleichsweise simpel.

Obwohl der Wurm Conficker nun schon seit Monaten Gegenstand ausführlicher Berichterstattung diverser, auch fachfremder Medien ist, grassiert die Malware nach wie vor. Inzwischen treibt sogar eine nochmals verfeinerte Variante des Wurms ihr Unwesen. Dabei ist es auch für Verwalter größerer Unternehmensnetzwerke vergleichsweise leicht, alle Clients und Server vor Conficker zu schützen. So hat unter anderem Microsoft inzwischen eine übersichtliche Anleitung veröffentlicht, welche Schutzmaßnahmen Conficker wirksam abhalten.

Um Infektionen von Clients und Servern aus dem Internet zu verhindern, muss zwingend das seit Oktober verfügbare Windows-Update MS08-67 installiert werden. Der Patch wurde seinerzeit außerplanmäßig veröffentlicht, also zwischen zwei Patch-Dienstagen. Entsprechend dringlich sollte der Softwareflicken auch installiert werden. Darüberhinaus rät das Microsoft-Dokument natürlich eine stets aktualisierte Antiviren-Software zu verwenden.

Unternehmen, die noch Legacy-Systeme auf Basis von Windows NT 4.0 oder Windows 98 betreiben, sollten zur Absicherung dieser Uralt-Betriebssysteme laut Microsoft unbedingt die Ratschläge eines TechNet-Artikels. Weiterhin empfehlen die Redmonder, unabhängig von den im Netzwerk vorhandenen Betriebssystemen per Gruppenrichtlinie für komplexe und schwer zu knackende Passworte zu sorgen. Denn zur Verbreitung im Intranet nutzt Conficker nicht die durch den außerplanmäßigen Patch geschlossene Lücke aus, sondern versucht durch Wörterbuch-Attacken die lokalen Administratorpassworte zu knacken, um sich dann über die ADMIN$-Freigaben auf andere Rechner zu kopieren.

Microsoft empfiehlt zudem, die Autorun-Funktion der Windows-Clients abzuschalten. Das lässt sich per Registry-Eintrag, oder durch eine Gruppenrichtlinie erzielen. Wichtig ist auch zu wissen, Administratoren von Systemen mit Windows 2000, Windows XP und Windows Server 2003 zuvor das jeweils passende, hier genannte Update installieren müssen. Windows Vista und Windows Server 2008 müssen mit einem anderen Sicherheitsupdate versehen werden, damit sich die Autorun-Funktion zuverlässig abschalten lässt.

Sind die Clients bereits von Conficker befallen, helfen verschiedene Removal-Tools wie beispielsweise das Microsoft Malicious Software Removal Tool oder F-Secures Gratis-Programm. Da Conficker auf infizierten PCs den Zugriff auf diverse Download- und Hilfsseiten der Antiviren-Hersteller blockiert, müssen die Anwendungen auf einen sauberen Rechner heruntergeladen und dann entsprechend verteilt werden. Alternativ bleibt auch immer noch der Weg der manuellen Entfernung des Wurms.