Thema: Conficker in Kärnten: Nach der Landesregierung nun die Spitäler

[SiLæncer]

Nach den Computern der Kärntner Landesregierung hat der Conficker-Wurm auch die PCs der Kärntner Krankenanstaltengesellschaft KABEG in mindestens drei Spitälern befallen. Wie bei der Landesregierung sind auch dort rund 3000 Rechner betroffen. Im Unterschied zur Landesregierung sollen die Krankenhaussysteme allerdings das einschlägige Sicherheitsupdate bereits zuvor installiert gehabt haben. Ein weiterer Unterschied ist, dass es dem Wurm gelungen sein soll, weitere Schädlinge auf die befallenen Spitals-Computer zu laden.

Unbestätigten Informationen zufolge soll Conficker über einen Laptop in das KABEG-Netzwerk eingesickert sein. Von dem Laptop aus soll er sich auf tausende gemeinsam genutzte Verzeichnisse verteilt haben, die nicht mit Passwörtern gesichert sind. Der Grund für die mangelhafte Absicherung soll darin liegen, dass die Krankenhäuser verschiedene medizinische Geräte einsetzen, die Daten übermitteln, aber nicht mit Passwörtern für die Verzeichnisse umgehen können. Um den reibungslosen Betrieb zu ermöglichen, wurde daher auf die Einrichtung eines Kennwortschutzes verzichtet, was sich nun als teurer Fehler erwiesen hat. Andere Quellen sprechen von einem USB-Stick als Ausgangspunkt der Infektion. Bisweilen sollen Patienten ihre Befunde auf solchen Speichermedien mitbringen.

Beide betroffenen Betriebe haben die Kärntner Firma Net-Solutions mit der Entwurmung beauftragt. Net-Solutions ersetzt den bisher genutzten Virenscanner, der den Conficker-Wurm nicht erkannt hat, durch einen erfolgreicheren Scanner. Auf den Einsatz des Microsoft Windows-Tools zum Entfernen bösartiger Software (MRT) wird allerdings verzichtet. Denn diese Software, die verbreitete Schädlinge bekämpfen soll, hat bisweilen zu neuerlichen Sicherheitsalarmen geführt. Genau wie der Conficker-Wurm versucht sie nämlich, auch gemeinsam genutzte Verzeichnisse zu scannen, ohne die Passwörter zu kennen. Die fehlgeschlagenen Login-Versuche tauchen dann im Sicherheitsprotokoll auf.

"Das größte Problem mit Conficker ist, dass er Betriebsunterbrechungen verursacht. Das kostet die betroffenen Betriebe viel Geld", erläuterte Net-Solutions-Geschäftsführer Wolfgang Frei gegenüber heise online, "Der Wurm versucht sich im Netzwerk zu verbreiten und probiert dazu eine Reihe bestimmter Passwörter durch. Nach einigen Fehlversuchen werden die Accounts aufgrund des notwenigen Passwortschutzes automatisch gesperrt. Binnen Minuten können hunderte Mitarbeiter nicht mehr auf ihre Computer zugreifen."

Doch Conficker ist keineswegs ein spezifisch kärntnerisches Problem. So soll es in dem südlichen Bundesland Österreichs auch einen großen Möbelhändler erwischt haben und auch eine Privatbank in Wien soll betroffen sein. Aus Bulgarien wurden Infektionen der Systeme von Innenministeriums, Polizei und Grenzpolizei gemeldet.

Conficker versucht, von einer Liste pseudozufälliger Domains Updates herunterzuladen. Symantec konnte diese Routine auswerten und entsprechende Domains registrieren. Auf dem dahinter aufgesetzten Server wurden innerhalb eines 72-Stunden-Zeitraums Zugriffe von über 600.000 IP-Adressen verzeichnet, wie Symantec am 6. Januar mitteilte. Hinter einer IP-Adresse können auch tausende infizierte Rechner stecken. Die meisten anfragenden Systeme liefen unter Windows XP ohne Servicepack oder mit Servicepack 1, gefolgt von Windows XP mit Servicepack 2 oder 3. Andere Windows-Varianten haben demnach nur einen geringen Anteil.

Die A-Variante von Conficker hatte sich laut Symantec in den zwei Monaten vor dem 9. Januar insbesondere auf dem indischen Subkontinent verbreitet, während die B-Variante speziell in den USA zahlreiche Systeme infiziert hatte.

Quelle : www.heise.de

[Warpi]

<Die meisten anfragenden Systeme liefen unter Windows XP ohne Servicepack oder mit Servicepack 1, gefolgt von Windows XP mit Servicepack 2 oder 3.>

Wie immer ....

[Yessir]

 Nach Schätzungen des Antivirenherstellers F-Secure hat der Windows-Wurm Conficker alias Downadup bereits rund 2,5 Millionen PCs infiziert. Da der Wurm die Fähigkeit zum Nachladen von Code habe, sei demnächst wahrscheinlich mit einem größeren Botnetz zu rechnen. Von welchen Domains der Wurm den Code nachlädt, bestimmt er laut F-Secure über einen komplizierten Algorithmus. Dabei generiere er viele verschiedene mögliche Domainnamen, sodass ein Sperren aller kaum möglich sei.

F-Secure hat nach eigenen Angaben aber einige Domains vorab selbst registriert und beobachtet, wieviel infizierte Maschinen die Domains aufrufen. Damit sei zwar auch die Kontrolle über die Maschinen möglich, bis hin zum Desinfizieren, aus rechtlichen Gründen greife man aber nicht auf die PCs zu.

Viele der Domain-Aufrufe kämen aus Unternehmensnetzwerken, bei denen man aufgrund der Adressumsetzung mit NAT nur eine einzige IP-Adresse sehe. Dahinter könnten aber in Wirklichkeit mehrere tausend infizierte PCs stehen. F-Secure hat in einem Blog-Eintrag die Aufrufe der Domains nach Ländern aufgeschlüsselt.

Aktuell sind drei Varianten des Conficker-Wurms unterwegs. Die B- und C-Varianten sollen nicht nur die RPC-Sicherheitslücke in Windows ausnutzen, sondern zudem versuchen, in Systeme mit einem schwachen Administrator-Passwort einzudringen. Dazu probieren sie eine Liste bestimmter Passwörter durch. Darüber hinaus verbreitet sich der Wurm auch über USB-Sticks. Schutz vor dem Wurm bietet also nicht nur die Installation des Sicherheits-Updates von Microsoft, zusätzlich sollten Administratoren auch schwache gegen starke Passwörter auswechseln.

Zuletzt wurde bekannt, dass der Wurm Computer der Kärntner Landesregierung und die PCs der Kärntner Krankenanstaltengesellschaft KABEG in mindestens drei Krankenhäusern befallen hatte.

[Update]Zusammen mit den gestern veröffentlichten Sicherheits-Updates für eine neue Lücke in Windows verteilt Microsoft eine aktuelle Version des Malicious Software Removal Tool, das den Wurm erkennen und eliminieren soll.[/Update]

Quelle: www.heise.de

[SiLæncer]

Innerhalb eines Tages ist Zahl der von F-Secure geschätzten Infektionen mit dem Conficker-Wurm um mehr als eine Million Rechner gestiegen. Der Wurm breitet sich auch innerhalb von Unternehmensnetzwerken weiter aus.

Malware-Forscher des finnischen Antivirusherstellers F-Secure haben noch am Dienstag eine als "konservativ" bezeichnete Schätzung veröffentlicht, nach der etwa 2,4 Millionen Rechner weltweit mit dem Wurm "Conficker" (oder auch "Downadup") infiziert seien. Einen Tag später beläuft sich die aktualisierte Schätzung bereits auf mehr als 3,5 Millionen PCs. Es müssten demnach also innerhalb eines Tages mehr als eine Million Neuinfektionen hinzu gekommen sein.

Die Schätzungen von F-Secure basieren unter anderem auf der Ermittlung von IP-Adressen, von denen verdächtige Aktivitäten ausgehen, die sich dem Conficker-Wurm zuordnen lassen. Dabei haben die Forscher festgestellt, dass viele der IP-Adressen zu teilweise großen Unternehmensnetzwerken gehören, die aus etlichen hundert oder gar mehreren tausend Rechnern bestehen können. Zusammen mit weiteren, nicht näher bezeichneten Methoden gelangt Toni Koivunen von F-Secure zu dem im Blog des Unternehmens veröffentlichten Zahlen.

Unterdessen hat Microsoft den Kampf gegen Conficker/Downadup aufgenommen. Beim ersten Patch Day in diesem Jahr hat Microsoft sein Anti-Malware-Tool in einer neuen Version bereit gestellt, die neben dem Trojanischen Pferd "Win32/Banload" auch bekannte Varianten des Conficker-Wurms entfernen soll. Dieser schützt seine Dateien mit allerlei Tricks, die ihm laut Cristian Craioveanu und Ziv Mador vom Microsoft Malware Protection Center jedoch nichts nützen sollen.

Der Wurm verbreitet sich über eine von Microsoft in dem außerplanmäßigen Security Bulletin MS08-067 behandelte Sicherheitslücke im Server-Dienst aller Windows-Versionen. Außerdem nutzt er Wechseldatenträger wie USB-Sticks und Netzwerkfreigaben mit schwachen Passwörtern zur Verbreitung, vor allem in lokalen Netzwerken. Er schützt seine Dateien, indem er die Zugriffsrechte darauf für alle Benutzer sperrt. Nur das lokale Systemkonto hat Zugriff. Außerdem werden die Dateien, wenn die Malware aktiv ist, durch einen Sperrmechanismus ("Lock") für geöffnete Dateien vor Löschversuchen geschützt.
Microsofts "Windows-Tool zum Entfernen bösartiger Software" soll trotz dieser Tricks alle Wurmdateien finden und entfernen können. Als Alternative kommen kostenlos erhältliche Boot-CDs mit Virenscanner in Frage, wie zum Beispiel das täglich aktualisierte "Avira AntiVir Rescue System" oder die "F-Secure Rescue-CD".

Quelle und Links : http://www.pcwelt.de/start/sicherheit/virenticker/news/190943/eine_million_neu_infizierter_pcs_in_24_stunden/

[Jürgen]

Den "Server-Dienst aller Windows-Versionen" finde ich auf meinem '98SE "leider" nicht.
Hab' ich jetzt 'was verpasst???

[SiLæncer]

Nach Angaben von F-Secure sollen mittlerweile neun Millionen Windows-PCs mit dem Conficker-Wurm infiziert sein. Da die bislang gemeldeten hohen Zahlen von vielen angezweifelt wurde, hat F-Secure die Methode der Zählung in seinem Blog veröffentlicht. Demnach hat der Antivirenhersteller mehrere der 250 täglich von Wurm kontaktierten Domains registriert und protokolliert die Verbindungen mit. Dabei zählt F-Secure alle eindeutigen IPs mit.

Zudem soll der Wurm bei seinen Aufrufen der Domains die Zahl der von ihm bislang erfolgreiche inifzierten anderen Systeme im HTTP-Header übertragen ("GET /search?q=29 HTTP/1.0"). Die Informationen vermengt F-Secure mit weiteren Daten und kommt schließlich auf die nach eigener Meinung sehr konservative Schätzung von rund neuen Millionen PCs (Stand Freitag, 16. 1.). Täglich sind bislang jeweils mehrere hunderttausend hinzugekommen.

Wieviel Rechner nun aber wirklich infiziert sind, weiß kein Mensch. Zudem ist schwer zu erklären, warum gerade der Conficker-Wurm so erfolgreich sein soll. Immerhin gibt es seit rund drei Monaten einen Patch zum Schließen der Windows-Lücke, über die er eindringt.

Allerdings verbreitet er sich nicht nur über eine ältere Lücke in Windows, sondern auch über Netzwerkshares. Dabei macht er sich offenbar mit einem schwachen Passwort geschützte Administratoren-Konten zunutze. Darüber hinaus befällt er auch USB-Sticks. Schließt man einen infizierten Stick an den Rechner, so fragt der Rechner zwar nach der gewünschten Aktion, statt den Wurm gleich zu starten. Allerdings soll der Wurm nach Angaben des Internet Storm Center dem Anwender dabei durch nachgemachte Icons zum Klick auf die Start-Option bringen können (Bild siehe hier).

Gegenüber britischen Medien gab der Anti-Bot-Dienstleister Damballa an, er habe nur rund 500.000 IP-Adresse beobachtet. Dies würde bedeuten, dass im Durchnitt hinter jeder Adresse 18 weitere, durch einen NAT-Router versteckte PCs stünden. Eine Zahl, die man für unwahrscheinlich halte. Auch SecureWorks hält die Zahl für fraglich, da nicht auszuschließen sei, dass infizierte PCs mehrfach gezählt würden. Gerade bei DSL-Anschlüssen taucht ein infizierter PC über einen gewissen Zeitraum mit mehreren Adressen auf. Bislang soll Conficker aber hauptsächlich Unternehmensnetzwerke von innen befallen haben, etwa durch infizierte Laptops.

Quelle : www.heise.de

[SiLæncer]

Auf zahlreichen Kriegsschiffen der britischen Royal Navy sorgt einem BBC-Bericht zufolge ein Computer-Wurm für Beeinträchtigungen. Ob es sich um den Windows-Wurm Conficker handelt, schreibt die BBC nicht, allerdings gibt es Hinweise, die seine Beteiligung vermuten lassen. Neben der Royal Navy sollen auch Basen der Royal Air Force (RAF) und der Armee vom Wurmbefall betroffen sein, der unter anderem zum Ausfall der E-Mail geführt haben soll. Nach Angaben des Verteidigungsministeriums habe der Schädling aber nicht versucht, wichtige militärische oder persönliche Daten auszuspähen. Man arbeite an der Desinfektion der Systeme.

Derzeit untersucht man nach Angaben der BBC noch, wie der Schädling in die PCs eingedrungen ist und woher er stammt. Einige infizierte Mails sollen allerdings von einem russischen Server stammen. Offizielle Stellen wollten aber die russische Regierung als Verursacher nicht bestätigen. Zudem soll es sich nicht um einen gezielten Angriff handeln.

Im November 2008 hatte bereits die US-Armee mit einem Computerwurm zu kämpfen, der sich über mobile Datenträger wie USB-Sticks verbreitete und sogar Militärbasen in Afghanistan befiel. Daraufhin hatte der Befehlshaber deren Nutzung bis auf Weiteres untersagt.

Quelle : www.heise.de

[SiLæncer]

Microsofts Anleitung zur Deaktivierung der Autorun-Funktion unwirksam

Das US-CERT hat einen "Technical Cyber Security Alert" veröffentlicht, der auf Probleme beim Abschalten der Autorun/AutoPlay-Funktion von Windows hinweist. Offenbar deaktiviert der von Microsoft beschriebene Weg über das Konfigurieren der Registry-Schlüssel Autorun und NoDriveTypeAutorun die Autorun- und AutoPlay-Funktionen nicht vollständig. Mit vollständig deaktivierten Funktionen würde weder ein Programm auf einem mobilen Gerät beim Anschluss starten, noch würde der AutoPlay-Dialog mit Vorschlägen für weitere Schritte aufpoppen.

Der gerade kursierende Wurm Conficker profitiert mehreren Berichten zufolge von der Fehlkonfiguration der Autorun- und AutoPlay-Funktion, um Anwender beim Anschluss eines infizierten USB-Sticks zu überlisten und zum Start des Schädlings zu bewegen. Dabei präsentiert der Wurm in der AutoPlay-Anzeige nach dem Anschließen eines infizierten USB-Sticks ein gefälschtes Icon, um Anwendern vorzugaukeln, sie würden beim Klicken einen Ordner öffnen. Stattdessen startet jedoch der Wurm.

Microsoft hat den Fehler bestätigt und auf einen seit März 2008 verfügbaren Knowledgebase-Artikel hingewiesen, der die Schwachstelle bereits beschreibt. Dort sind auch Links zu Updates für Windows 2000, XP und Server 2003 enthalten, die den Fehler korrigieren und die richtigen Schlüssel setzen. Laut US-CERT soll der Fehler in Vista und Server 2008 bereits mit dem Update MS08-038 behoben worden sein. Das US-CERT hat in seinem Bericht einen eigenen Workaround zur Behebung des Problems veröffentlicht.

Quelle : http://www.heise.de/newsticker/Microsofts-Anleitung-zur-Deaktivierung-der-Autorun-Funktion-unwirksam--/meldung/122162

[SiLæncer]

Bisher hat der Conficker-Wurm nicht mehr getan, als sich zu vermehren. Das aber kann er so gut, dass die Warnungen davor immer schriller werden: Eine Epidemie sei das, der größte PC-Virenbefall seit Jahren. Weil er auch einer der unnötigsten ist, gerät einmal mehr Microsoft in die Kritik.

Anfang der Woche erntete das finnische IT-Sicherheitsunternehmen F-Secure, Entwickler von Antiviren-Software, weltweit Schlagzeilen mit der Nachricht, der bereits seit November 2008 bekannte Conficker-Wurm verbreite sich immer schneller, habe mittlerweile fast zehn Millionen Rechner befallen. Am Donnerstag legte der F-Secure-Konkurrent Panda Security, auch bekannt als PandaLabs, noch ein Scheit auf und veröffentlichte eine Statistik, wonach rund sechs Prozent aller Windows-PCs von dem Wurm befallen seien.

Das wäre eine Menge Holz: Seit 1999 werden alljährlich mehr als 100 Millionen neue PCs verkauft, über den Gesamtbestand gibt es wild divergierende Schätzungen. Die sind sich zumindest darin einig, dass man hier über eine Zahl zwischen einer und 1,5 Milliarden Maschinen spricht, von denen aktuell rund 89 Prozent unter Windows laufen. Wenn Panda recht hätte, wären demnach aktuell nicht zehn, sondern mehr als 50 Millionen PCs verseucht.

Die sechs Prozent, kommentierten umgehend IT-Sicherheitsexperten, könnten trotzdem noch als zurückhaltende Schätzung durchgehen, denn die Statistik beruhe nur auf einem Online-Scan, den Panda im Web anbietet: Es seien darum nur die Besorgten und Verantwortungsvollen, die ihren Rechner vorsorglich untersuchen ließen, die hier erfasst worden - eine Minderheit der PC-Nutzer.

Da aber verschiedenen Messungen zufolge noch immer rund 30 Prozent aller Windows-Rechner für den Wurm anfällig seien, könnte die reale Verseuchungsquote auch entsprechend hoch liegen - zwischen 20 und 30 Prozent. Das ergäbe dann summa summarum bemerkenswerte 450 Millionen verseuchte PCs. Das ist schwer zu glauben und wohl kaum wahrscheinlich.

Das derzeitige Zahlen-Stapeln grenzt also schon an Hysterie - insbesondere, da der Wurm zumindest in der ersten Phase seiner Verbreitung seine eigentlichen Aufgaben möglicherweise gar nicht erfüllte: Manche IT-Experten halten zumindest die ersten zwei Versionen des Wurms für Rohrkrepierer. Conficker sorgt trotzdem für eine Menge Nervosität, weil er über Eigenschaften verfügt, die ihn zu einem potentiell erheblichen Sicherheitsrisiko machen:

    * Er zielt auf Netzwerke, betrifft also vornehmlich Unternehmen, Organisationen und Behörden. Privat-PCs nimmt Conficker als Kollateralschäden mit.
    * Er verbreitet sich auf mehreren Wegen und ist deshalb verhältnismäßig schwer einzudämmen.
    * Er öffnet eine Hintertür ins Web, kann jede beliebige weitere Schadsoftware nachladen und kommuniziert mit seinen Urhebern.
    * Er ist geeignet, ein Botnetz aufzubauen und zu kontrollieren. Das wäre selbst dann schon das größte seiner Art, wenn es nur aus den Rechnern bestünde, bei denen ein Befall bereits per Scan verifiziert wurde.

Wie viele Netzwerke Conficker bisher unterwandert hat, ist nicht bekannt: Mit so etwas gehen weder Firmen noch Behörden gern hausieren. Zu den bekannten Fällen gehört das Netzwerk der Gesundheitsbehörden in Neuseeland, die zwei Wochen brauchten, den Schädling wieder los zu werden. Die Hose herunter ließen dann am Dienstag auch die Gesundheitsbehörden der britischen Stadt Sheffield, die den PC-Krankheitserreger auf rund zehn Prozent ihrer Rechner gefunden hatten.

Der spektakulärste Fall aber dürfte der Befall der Computersysteme der britischen Marine und des britischen Verteidigungsministeriums sein: Zeitweilig sollen über 70 Prozent aller Rechner auf ihren Schiffen und U-Booten betroffen gewesen sein. Verseucht wurden angeblich auch Teile von anderen Netzwerken des Verteidigungsministeriums.

Das will offiziell nicht bestätigen, dass es um Conficker geht, gibt aber genügend Details bekannt, um kaum einen anderen Schluss zuzulassen. Auch hier arbeiten die IT-Sicherheitsexperten bereits seit mehr als zwei Wochen daran, die Systeme wieder sauber zu bekommen. Schwierig ist das, weil es offenbar wiederholt zu Neuverseuchungen bereits gesäuberter Rechner kam. Das Verteidigungsministerium in London veröffentlichte einige beruhigende Statements, die Gerüchte darüber, dass auch die Luftwaffe betroffen sei, aber nicht eindämmen konnten.

Das Problem wiegt so schwer, dass sich das Ministerium bemüßigt fühlte, offiziell bekanntzugeben, dass die Rechner zwar versenkt seien, nicht jedoch die Marine ihrer Majestät: Die Einsatzfähigkeit sei voll gewährleistet - auch, wenn dieser vermaledeite Wurm gerade irgendwelche Daten nach Russland schicke.

Woher kommt der Wurm - und was ist sein Zweck?

Denn zumindest in Richtung Osten vermuten IT-Experten die Urheber. Nicht nur, weil die Programmierung des Wurms die Handschrift einer notorischen, auf Erpressungs-Software spezialisierten kriminellen Bande aus Russland und der Ukraine trüge; nicht nur, weil der Wurm versuche, Befehle und Updates von russischen Servern zu beziehen; auch, weil die erste Version eine Sicherung enthielt, die dafür sorgte, dass ein Rechner nicht befallen wurde, wenn er auf einen ukrainischen Zeichensatz konfiguriert war. So was ist schon fast ein Absender.

Die Lösung war da, bevor das Problem entstand

Doch die Schuldigen im Fall Conficker entdecken Kommentatoren nicht nur in obskuren Malware-Schmieden im ehemaligen Ostblock, sondern auch in Redmond, USA. Da sitzt Microsoft, Hersteller aller Windows-Betriebssysteme und Quasi-Monopolist auch in Bezug auf die Verseuchung von Rechnern mit Würmern und Viren.

Auch im aktuellen Fall sieht sich Microsoft wieder mit Vorwürfen konfrontiert, eine Mitschuld am Erfolg von Conficker zu tragen. Manche davon muss sich das Unternehmen allerdings wirklich nicht zu Herzen nehmen: Die Sicherheitslücke in der Windows-Server-Software, die Conficker als primäres Einfalltor in Rechnernetze nutzt, hatte Microsoft bereits Mitte Oktober per Update geschlossen - und damit fünf Wochen, bevor Conficker seine Attacke begann.

Die erste Ursache für die ersten Verseuchungen lag also - man muss das so klar sagen - im ungesunden Büroschlaf manches IT-Verantwortlichen. Wer heute über ein Unternehmensnetzwerk zu wachen hat und sich fünf Wochen Zeit lässt, bevor er als gefährlich gekennzeichnete Sicherheitslücken schließt, muss sich mit Recht ein paar Fragen gefallen lassen. Dass noch immer bis zu 30 Prozent aller Rechner die nötigen Updates nicht empfangen haben sollen, ist mehr als fahrlässig.

Trotzdem: Ein erheblicher Image-Schaden

Seit der zweiten Welle aber verbreitet sich Conficker auch horizontal unter Ausnutzung einer systemimmanenten Schwäche aller Windows-Systeme: Es geht um die Autorun-Funktionen, die Windows als Voreinstellung anbietet, um Anwendungen von externen Laufwerken zu starten.

Wer etwa einen verseuchten USB-Stick an einen Rechner anschließt, braucht sonst nichts mehr zu unternehmen: Der Wurm wandert selbsttätig auf den nächsten PC. Jetzt fällt zum ersten Mal seit dem Rootkit-Skandal der Firma Sony massiv auf, dass Microsoft schlicht verpennt hat, diese so herrlich bequeme wie fatal gefährliche Funktion abschaltbar zu gestalten. Im Jahr 2005 hatte Sony CDs mit einem Rootkit ausgeliefert, der sich mit Hilfe der Autorun-Funktion heimlich auf Rechnern einnistete. Schon damals war auch die Autorun-Funktion massiv in die Kritik geraten, die diese Verseuchung erst ermöglichte. Geändert hat Microsoft seitdem nichts daran. Wer das Autorun unterbinden will, muss händisch in die System-Registry eingreifen - und das ist wahrlich kein Job für Laien.

Am Montag gab das amerikanische Computer Emergency Response Team (CERT) auch noch eine Warnung vor der Anleitung heraus, die Microsoft im Mai 2008 herausgegeben hatte, um zu erklären, wie man Autorun desaktiviert. Das CERT dokumentierte, dass das Problem so wie beschrieben nicht zu lösen war. Microsoft reagierte kurz darauf pikiert mit dem Hinweis, dass es doch längst eine Ergänzung zur Erklärung gäbe, die das Problem löse. Eine Peinlichkeit für beide Seiten, weil es klarmacht, dass sich selbst Experten da nur noch schwer zurechtfinden. Kritiker fragen da zurecht, warum Microsoft Betriebssysteme an Laien verkauft, bei denen potentiell riskante Einstellungen nur von Experten oder - mit entsprechenden Risiken - mit Hilfe komplizierter Anleitungen geändert werden können.

Denn nach wie vor ist die Entfernung des Wurms mit Hilfe eines der Removal-Tools verschiedener Anbieter (siehe Linkkasten) einfacher zu bewerkstelligen als die präventive Absicherung der Windows-Betriebssysteme. In Foren und in den Leserbrief-Postfächern der Medien hat der Wurm Conficker darum noch eine andere Epidemie ausgelöst: Eine Flut hämischer Postings mit dem Grundmotto "Mit Mac OS X oder Linux wäre das nicht passiert".

Egal, wie differenziert man das Thema auch betrachtet: Das stimmt.

Quelle : www.spiegel.de

[SiLæncer]

Die Anzahl der Neuinfektionen mit dem Conficker-Wurm scheint langsam zurück zu gehen. Die höchsten Zahlen verseuchter Rechner sind bislang in China, Russland und Brasilien festzustellen.

Der finnische Antivirushersteller F-Secure hat in den letzten zwei Wochen mehrfach dramatische Zahlen über den Verlauf der Ausbreitung des Conficker-Wurms veröffentlicht. Inzwischen sind die Finnen zu der Ansicht gelangt, der Höhepunkt der Ausbreitungswelle sei überschritten. Am 23. Februar hat F-Secure etwas über eine Million IP-Adressen gezählt, hinter denen infizierte Rechner stecken. Wie viele Rechner hinter jeder IP-Adresse stecken, ist allerdings bestenfalls schätzbar.

Statt weiter über die tatsächliche Zahl der mit dem Conficker-Wurm infizierten Rechner zu spekulieren, wollen wir uns einmal die weltweite Verteilung ansehen. Hier fällt auf, dass die fünf Länder mit der höchsten Infektionsrate zusammen mehr als die Hälfte der Infektionen ausmachen. China, Russland und Brasilien liegen mit großem Vorsprung vorn, dahinter folgen Indien und die Ukraine, die nur halb so viele Infektionen aufweisen. Erst mit großem Abstand folgt eine Vierergruppe aus Südkorea, Italien, Rumänien und Argentinien.

Die USA, Deutschland und einige andere EU-Länder wie Frankreich und Großbritannien sind vergleichsweise wenig betroffen und liegen im Mittelfeld. Insgesamt hat Conficker Südamerika schwer erwischt, das einen Anteil von mehr als 20 Prozent erreicht. Nordamerika ist hingegen kaum betroffen: die USA kommen auf nicht einmal 1,2 Prozent, Mexiko auf ein Prozent und Kanada taucht in der Liste gar nicht erst auf. In Europa sind nur Italien und Rumänien stark betroffen.

Die Aufräumarbeiten nach der anhaltenden Wurmflut dürften in den vorgenannten Ländern noch schwierig werden. Wer seine Rechner nicht ausreichend geschützt hat, muss vor allem in größeren Netzwerken sehr sorgfältig und streng systematisch vorgehen, damit nicht ständig gesäuberte Rechner wieder infiziert werden. Hier sind es vor allen USB-Sticks und externe Festplatten, die noch lange Zeit für immer wieder aufflackernde Infektionsherde sorgen können.

Einige Antivirushersteller haben spezielle Programme zum Entfernen des Conficker-Wurms kostenlos bereit gestellt. Bei F-Secure heißt das Programm "F-Downadup", Kaspersky nennt den Wurm "Kido" und bietet einen "KidoKiller" an. Auch bei Symantec gibt es einen Gratis-Remover, er heißt "FixDownadup". Schließlich hat auch die aktuelle Version von Microsofts "Windows-Tool zum Entfernen schädlicher Software" den Conficker-Wurm auf dem Zettel.

Quelle : www.pcwelt.de

[SiLæncer]

Sicherheitsunternehmen haben sich mit der ICANN und mehreren Domain-Registraren zusammen geschlossen, um dem Conficker-Wurm das Wasser abzugraben. Microsoft hat eine Belohnung für Ergreifung der Hintermänner ausgesetzt.

Die Internet-Domain-Verwaltung ICANN, Microsoft, etliche internationale Domain-Registrare, darunter Verisign, sowie Sicherheitsunternehmen wie die Antivirushersteller Symantec und F-Secure haben eine Koalition gebildet, die den Conficker-Wurm bekämpfen will. Microsoft hat eine Belohnung von 250.000 US-Dollar für Hinweise ausgesetzt, die zur Ergreifung der Täter hinter dem Conficker-Wurm führen.

Der je nach Antivirushersteller auch als "Downadup" oder "Kido" bezeichnete Wurm hat in den letzten Wochen mehrere Millionen Windows-Rechner infiziert. Er nutzt dazu unter anderem eine Sicherheitslücke in Windows, die Microsoft mit dem Security Bulletin MS08-067 behandelt hat. Außerdem breitet er sich über Wechselmedien und Netzwerkfreigaben aus.

Der Wurm enthält einen Update-Mechanismus, der über eine pseudo-zufälligen Algorithmus täglich etwa 250 neue Domain-Namen generiert. Der Wurm versucht sich mit diesen Domains zu verbinden, um sich zu aktualisieren. Die Koalition will nun mit vereinten Kräften diesen Update-Pfad dicht machen. Dazu sollen möglichst alle diese Domains vorab registriert und auf spezielle Server umgelenkt werden.
Wie Symantecs Malware-Forscher in ihrem Blog mitteilen, sollen diese Server infizierte Rechner und Netzwerke protokollieren, die sich mit diesen Domains zu verbinden versuchen. Außerdem will die Koalition bei solchen Conficker-Domains Nachforschungen anstellen, die von anderen Personen außerhalb der Koalition registriert worden sind.

Diese Initiative ist nach Art und Umfang bislang einzigartig. Mehr als 20 IT-Unternehmen investieren Geld und Arbeitskraft, um in einer gemeinsamen Anstrengung einen einzigen Wurm zu bekämpfen. Auch Anwender und Administratoren können einen Beitrag leisten: installieren Sie das Sicherheits-Update für Windows, das Microsoft mit dem Security Bulletin MS08-067 bereit gestellt hat. Ein aktuelles Antivirusprogramm schützt auch vor Conficker-Infektionen über die anderen Verbreitungswege.

Quelle : www.pcwelt.de

[SiLæncer]

Der seit Wochen weltweit grassierende Computer-Wurm "Conficker" hat mehrere hundert Bundeswehr-Rechner befallen. "Einzelne betroffene Dienststellen wurden vom Bundeswehr-Netzwerk getrennt, um eine weitere Ausbreitung der Schadsoftware zu verhindern", sagte ein Sprecher des Bundesverteidigungsministeriums am Samstag in Berlin. Derzeit gebe es aber keine weiteren Einschränkungen. Spezialisten eines Computer-Notfall-Teams der Bundeswehr und des Unternehmens BWI Informationstechnik GmbH hätten "Maßnahmen zur Entfernung der Schadsoftware und Wiederherstellung der vollen Funktionsfähigkeit der Computersysteme der Bundeswehr eingeleitet".

Der Computer-Wurm hatte in der Vergangenheit auch schon Rechner von Streitkräften anderer europäischer Staaten befallen. In Frankreich hatte "Conficker" Mitte Januar das Intranet der Marine befallen. Ein Armeesprecher wies vor wenigen Tagen einen Bericht zurück, wonach mehrere Kampfflugzeuge wegen des Virusbefalls am Boden bleiben mussten. Das interne Kommunikationsnetz sei umgehend von anderen Netzen abgetrennt worden, um die weitere Ausbreitung des Computer-Wurms zu verhindern. Auch das britische Verteidigungsministerium hatte mit dem Computer- Wurm zu kämpfen.

Der Computer-Schädling hatte im Januar innerhalb weniger Tage Millionen Rechner weltweit infiziert. Betroffen sind vor allem Netzwerke von Firmen und Behörden. Erst am vergangenen Donnerstag hatte Microsoft für Hinweise, die zur Festnahme und Verurteilung der "Conficker"-Urheber führen, eine Belohnung von 250.000 Dollar ausgesetzt.

Der Wurm nutzt eine Sicherheitslücke in Windows-Betriebssystemen aus. Zudem versuche der Schädling, schwache Passwörter zu knacken. Auch eine Verbreitung über infizierte USB-Sticks ist möglich. "Conficker" ist nach Angaben des Anti-Viren-Herstellers F-Secure "ungewöhnlich schwierig zu entfernen". Der Wurm lädt zudem über das Internet weitere schädliche Software nach. Damit können die Angreifer beispielsweise Passwörter ausspähen oder Spam-Mails versenden.

Quelle : www.heise.de

[Warpi]

Die BW stellt eine kompetente "Cybereinheit" auf. Und hat Probleme mit dem ollen Wurm... 

[SiLæncer]

Sind wohl alles noch Azubis 

[Warpi]

Ich als Kriegsdienstverweigerer habe natürlich alle Patches von M$ installiert.
Harte Männer brauchen keine Firewall u.s.w.