Conficker in einem Netzwerk remote aufspüren und beseitigen
Der conficker scheint sehr flexibel zu sein und da ich keine Anleitung gefunden habe, wie man in einem Netzwerk von mehr als 200 Rechnern den Wurm auch vom eigenen Arbeitsplatz aus beseitigen kann ohne die Turnschuhe gewaltig abzunutzen, schreibe ich jetzt wie wir es in unserem Unternehmen ziehmlich entspannt vom Arbeitsplatz aus gemacht haben. Das Ganze war bei 450 Rechnern und 15 Servern (Win 2000 und WinXp) auch in c.a. 8 Stunden (und nicht wie bei anderen in Wochen) abgeschlossen.
Allgemeine Probleme bei uns:
Der Conficker Wurm richtet erst einmal keinen großen Schaden an, aber er versucht via BruteForce die Passworte von Usern zu hacken. Da die GPO nach fünfmaliger Eingabe eines falschen Passwortes den Account für 30 Minuten sperrt, sind somit permanent die Konten der AD User gesperrt.
Bekämpfung:
Wichtig ist m. E. erst einmal die infizierten Rechner ausfindig zu machen, um diese gezielt zu heilen. Die folgenden Schritte (also das Heilen) kann man auch remote erledigen (mittels RemoteDesktop oder DameWare etc.)
Mittels "Conficker Detection Tool" von McAfee sucht man die Subnetze nach infizierten Rechnern ab. Dann verbindet man sich auf den Rechner und beseitigt diesen mit dem "Tool zur Entfernung bösartiger Software (windows-kb890830-v2.9.exe)". Dann wird der Patch von MS für das entsprechende Betriebssystem installiert.
Manchmal schafft es das MS Tool allerdings nicht, den Wurm zu entfernen. Dies kann man zusätzlich mit dem Tool "Stinger" von McAfee überprüfen (muss man nicht ganz durchlaufen lassen, da gleich am Anfang die laufenden Prozesse und somit auch die services.exe überprüft werden).
Dann steckt der Conficker oftmals in der "c:\(WinNT/Windows)\system32\SERVICES.exe", welchen der Stinger auch nicht weg bekommt.
Zu erkennen ist die Infektion m. E. dadurch, dass der Dateiname groß geschrieben ist.
Diese "SERVICES.exe" kann man löschen, da sie vom System wieder neu und nicht infiziert angelegt wird.
Das Löschen ist allerdings nicht ganz so einfach, da sie im Zugriff ist.
Hier muss man das kleine Tool "Unlocker Portable" benutzen.
Unlocker starten, dann die Datei "SERVICES.exe" rechts klicken und auf "Unlocker" klicken.
Bei Aktion "Löschen" auswählen und OK klicken.
Nun wird die Meldung erscheinen, dass die Datei nicht sofort aber beim nächsten Neustart gelöscht werden kann. Dies bejaht man. (bei Prolemen erst mit dem Unlocker umbenennen, dann löschen)
Nach dem Neustart tauscht dann das System die "SERVICES.exe" gegen eine nicht infizierte "services.exe" aus.
(der conficker kann auch andere Prozesse, wie z.B. die svchost.exe, befallen aber das Vorgehen zur Bekämpfung ist genau wie oben beschrieben)
Da in einem Unternehmen nicht immer alle Rechner angeschaltet sind, muss man den Scan immer wieder mal laufen lassen.
Zum Schluss kann man noch mit dem Tool "Retina Network Scanner - Conficker Worm" das Netzwerk scannen. Einmal abgesehen davon, dass es nie schaden kann verschiedene Scanner laufen zu lassen, hat dieser den Vorteil, dass er anzeigt, welche Rechner im Netzwerk schon gepatcht sind und welche verletzbar bzw. ungepatcht sind.
Diese Info ist wichtig, da ja schon ein ungepatchter Rechner ausreicht um sich zu infizieren und dann wieder alle Userkonten zu sperren.
Links zu den Tools:
http://portableappz.blogspot.com/2008/05/portable-unlocker-187-multilan ...
http://www.microsoft.com/downloads/details.aspx?info=EXLINK&display ...
http://www.chip.de/downloads/McAfee-AVERT-Stinger-Conficker_35940896.ht ...
http://www.mcafee.com/us/enterprise/confickertest.html
http://www.eeye.com/html/products/retina/download_short/index.html
---> Hier gehts zur Diskussionsrunde... <----
Dani - 10.05.2009 22:36 Uhr
Ich habe mir erlaubt, die Diskussionen zu löschen...denn diese haben zwar indirekt mit der Anleitung zu tun tragen aber nichts bei. Bitte nächstes mal per PN oder eben einen Beitrag schreiben!
Ohh...außversehen zu viele Kommentare gelöscht. Werden die nächsten Stunden wiederhergestellt!!
Allgemeine Probleme bei uns:
Der Conficker Wurm richtet erst einmal keinen großen Schaden an, aber er versucht via BruteForce die Passworte von Usern zu hacken. Da die GPO nach fünfmaliger Eingabe eines falschen Passwortes den Account für 30 Minuten sperrt, sind somit permanent die Konten der AD User gesperrt.
Bekämpfung:
Wichtig ist m. E. erst einmal die infizierten Rechner ausfindig zu machen, um diese gezielt zu heilen. Die folgenden Schritte (also das Heilen) kann man auch remote erledigen (mittels RemoteDesktop oder DameWare etc.)
Mittels "Conficker Detection Tool" von McAfee sucht man die Subnetze nach infizierten Rechnern ab. Dann verbindet man sich auf den Rechner und beseitigt diesen mit dem "Tool zur Entfernung bösartiger Software (windows-kb890830-v2.9.exe)". Dann wird der Patch von MS für das entsprechende Betriebssystem installiert.
Manchmal schafft es das MS Tool allerdings nicht, den Wurm zu entfernen. Dies kann man zusätzlich mit dem Tool "Stinger" von McAfee überprüfen (muss man nicht ganz durchlaufen lassen, da gleich am Anfang die laufenden Prozesse und somit auch die services.exe überprüft werden).
Dann steckt der Conficker oftmals in der "c:\(WinNT/Windows)\system32\SERVICES.exe", welchen der Stinger auch nicht weg bekommt.
Zu erkennen ist die Infektion m. E. dadurch, dass der Dateiname groß geschrieben ist.
Diese "SERVICES.exe" kann man löschen, da sie vom System wieder neu und nicht infiziert angelegt wird.
Das Löschen ist allerdings nicht ganz so einfach, da sie im Zugriff ist.
Hier muss man das kleine Tool "Unlocker Portable" benutzen.
Unlocker starten, dann die Datei "SERVICES.exe" rechts klicken und auf "Unlocker" klicken.
Bei Aktion "Löschen" auswählen und OK klicken.
Nun wird die Meldung erscheinen, dass die Datei nicht sofort aber beim nächsten Neustart gelöscht werden kann. Dies bejaht man. (bei Prolemen erst mit dem Unlocker umbenennen, dann löschen)
Nach dem Neustart tauscht dann das System die "SERVICES.exe" gegen eine nicht infizierte "services.exe" aus.
(der conficker kann auch andere Prozesse, wie z.B. die svchost.exe, befallen aber das Vorgehen zur Bekämpfung ist genau wie oben beschrieben)
Da in einem Unternehmen nicht immer alle Rechner angeschaltet sind, muss man den Scan immer wieder mal laufen lassen.
Zum Schluss kann man noch mit dem Tool "Retina Network Scanner - Conficker Worm" das Netzwerk scannen. Einmal abgesehen davon, dass es nie schaden kann verschiedene Scanner laufen zu lassen, hat dieser den Vorteil, dass er anzeigt, welche Rechner im Netzwerk schon gepatcht sind und welche verletzbar bzw. ungepatcht sind.
Diese Info ist wichtig, da ja schon ein ungepatchter Rechner ausreicht um sich zu infizieren und dann wieder alle Userkonten zu sperren.
Links zu den Tools:
http://portableappz.blogspot.com/2008/05/portable-unlocker-187-multilan ...
http://www.microsoft.com/downloads/details.aspx?info=EXLINK&display ...
http://www.chip.de/downloads/McAfee-AVERT-Stinger-Conficker_35940896.ht ...
http://www.mcafee.com/us/enterprise/confickertest.html
http://www.eeye.com/html/products/retina/download_short/index.html
---> Hier gehts zur Diskussionsrunde... <----
Dani - 10.05.2009 22:36 Uhr
Ich habe mir erlaubt, die Diskussionen zu löschen...denn diese haben zwar indirekt mit der Anleitung zu tun tragen aber nichts bei. Bitte nächstes mal per PN oder eben einen Beitrag schreiben!
Ohh...außversehen zu viele Kommentare gelöscht. Werden die nächsten Stunden wiederhergestellt!!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115596
Url: https://administrator.de/tutorial/conficker-in-einem-netzwerk-remote-aufspueren-und-beseitigen-115596.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
13 Kommentare
Neuester Kommentar
Hi !
Ich kann das Thema gepatcht oder ungepacht gar nicht nachvollziehen, in meinen Netzen gibt es keine ungepatchten Systeme. Treten nach dem Patchen Probleme auf, fliegt die Kiste aus dem Netz und wird notfalls (von Hand falls erforderlich) neu aufgesetzt.
Ungepatchte Systeme, so eine Nachlässigkeit rächt sich gnadenlos.
Sorry aber es ist eine Tatsache und ich würde sogar soweit gehen und behaupten, wer seine Systeme nicht patcht und kontrolliert, handelt von leichtsinnig bis grob fahrlässig. Was spricht gegen das Patchen ?
Danke für Deine Anleitung sie ist sehr interessant. Ich habe aber keine Probleme mit Malware, da passe ich auf wie ein Luchs.
mrtux
Ich kann das Thema gepatcht oder ungepacht gar nicht nachvollziehen, in meinen Netzen gibt es keine ungepatchten Systeme. Treten nach dem Patchen Probleme auf, fliegt die Kiste aus dem Netz und wird notfalls (von Hand falls erforderlich) neu aufgesetzt.
Ungepatchte Systeme, so eine Nachlässigkeit rächt sich gnadenlos.
Sorry aber es ist eine Tatsache und ich würde sogar soweit gehen und behaupten, wer seine Systeme nicht patcht und kontrolliert, handelt von leichtsinnig bis grob fahrlässig. Was spricht gegen das Patchen ?
Danke für Deine Anleitung sie ist sehr interessant. Ich habe aber keine Probleme mit Malware, da passe ich auf wie ein Luchs.
mrtux
Hi,
ein paar kleine Tipps
Schau dir auch mal die an.
z.B Stinger download... usw.
Gruß
ein paar kleine Tipps
- wenn du eine Anleitung schreibst und Tools nennst, ist es "cool", wenn du Ross und Reiter nennst.
Schau dir auch mal die an.
z.B Stinger download... usw.
Gruß
Moin,
bei 450 PCs sollte eine zentral administrierbare Antivirensoftware (ePO oder anderes) und ein vernünftiges Patchmanagement (WSUS etc.) Pflicht sein - da kannst Du dann ganz entspannt Logs/Reports lesen und Dir Deine Pappenheimer vornehmen und ggf. *zwangspatchen*
dann klappt es auch mit Malware etc.
24
bei 450 PCs sollte eine zentral administrierbare Antivirensoftware (ePO oder anderes) und ein vernünftiges Patchmanagement (WSUS etc.) Pflicht sein - da kannst Du dann ganz entspannt Logs/Reports lesen und Dir Deine Pappenheimer vornehmen und ggf. *zwangspatchen*
dann klappt es auch mit Malware etc.
24
Moin,
hier will keiner die Situation Deines Unternehmens oder Deine Rauchgewohnheiten beurteilen...
aber
in solch einer schon mittelgroßen Umgebung sollten genau solche Policies beachtet werden, damit nicht die IT ausfällt, und die Firma damit Schaden hat...
24
*edit* - Frag einfach mal Deinen Chef, was es die Firma kostet, wenn keiner eine Woche (Tag/Stunde - je nach Firmengröße) nicht arbeiten kann - IT-Ausfall - und dann leg Angebote daneben - für AV etc. - der nimmt sofort an
und danach frage den, was der mit Mitarbeitern macht, die sowas verursacht haben - Du darfste dem die nächste Managementmail sicher vorschreiben, was an der IT alles zu beachten ist....
^^
hier will keiner die Situation Deines Unternehmens oder Deine Rauchgewohnheiten beurteilen...
aber
in solch einer schon mittelgroßen Umgebung sollten genau solche Policies beachtet werden, damit nicht die IT ausfällt, und die Firma damit Schaden hat...
24
*edit* - Frag einfach mal Deinen Chef, was es die Firma kostet, wenn keiner eine Woche (Tag/Stunde - je nach Firmengröße) nicht arbeiten kann - IT-Ausfall - und dann leg Angebote daneben - für AV etc. - der nimmt sofort an
und danach frage den, was der mit Mitarbeitern macht, die sowas verursacht haben - Du darfste dem die nächste Managementmail sicher vorschreiben, was an der IT alles zu beachten ist....
^^