firestone3112
Goto Top

Conficker in einem Netzwerk remote aufspüren und beseitigen

Der conficker scheint sehr flexibel zu sein und da ich keine Anleitung gefunden habe, wie man in einem Netzwerk von mehr als 200 Rechnern den Wurm auch vom eigenen Arbeitsplatz aus beseitigen kann ohne die Turnschuhe gewaltig abzunutzen, schreibe ich jetzt wie wir es in unserem Unternehmen ziehmlich entspannt vom Arbeitsplatz aus gemacht haben. Das Ganze war bei 450 Rechnern und 15 Servern (Win 2000 und WinXp) auch in c.a. 8 Stunden (und nicht wie bei anderen in Wochen) abgeschlossen.

Allgemeine Probleme bei uns:
Der Conficker Wurm richtet erst einmal keinen großen Schaden an, aber er versucht via BruteForce die Passworte von Usern zu hacken. Da die GPO nach fünfmaliger Eingabe eines falschen Passwortes den Account für 30 Minuten sperrt, sind somit permanent die Konten der AD User gesperrt.

Bekämpfung:
Wichtig ist m. E. erst einmal die infizierten Rechner ausfindig zu machen, um diese gezielt zu heilen. Die folgenden Schritte (also das Heilen) kann man auch remote erledigen (mittels RemoteDesktop oder DameWare etc.)

Mittels "Conficker Detection Tool" von McAfee sucht man die Subnetze nach infizierten Rechnern ab. Dann verbindet man sich auf den Rechner und beseitigt diesen mit dem "Tool zur Entfernung bösartiger Software (windows-kb890830-v2.9.exe)". Dann wird der Patch von MS für das entsprechende Betriebssystem installiert.

Manchmal schafft es das MS Tool allerdings nicht, den Wurm zu entfernen. Dies kann man zusätzlich mit dem Tool "Stinger" von McAfee überprüfen (muss man nicht ganz durchlaufen lassen, da gleich am Anfang die laufenden Prozesse und somit auch die services.exe überprüft werden).
Dann steckt der Conficker oftmals in der "c:\(WinNT/Windows)\system32\SERVICES.exe", welchen der Stinger auch nicht weg bekommt.
Zu erkennen ist die Infektion m. E. dadurch, dass der Dateiname groß geschrieben ist.
Diese "SERVICES.exe" kann man löschen, da sie vom System wieder neu und nicht infiziert angelegt wird.
Das Löschen ist allerdings nicht ganz so einfach, da sie im Zugriff ist.
Hier muss man das kleine Tool "Unlocker Portable" benutzen.
Unlocker starten, dann die Datei "SERVICES.exe" rechts klicken und auf "Unlocker" klicken.
Bei Aktion "Löschen" auswählen und OK klicken.
Nun wird die Meldung erscheinen, dass die Datei nicht sofort aber beim nächsten Neustart gelöscht werden kann. Dies bejaht man. (bei Prolemen erst mit dem Unlocker umbenennen, dann löschen)
Nach dem Neustart tauscht dann das System die "SERVICES.exe" gegen eine nicht infizierte "services.exe" aus.
(der conficker kann auch andere Prozesse, wie z.B. die svchost.exe, befallen aber das Vorgehen zur Bekämpfung ist genau wie oben beschrieben)


Da in einem Unternehmen nicht immer alle Rechner angeschaltet sind, muss man den Scan immer wieder mal laufen lassen.

Zum Schluss kann man noch mit dem Tool "Retina Network Scanner - Conficker Worm" das Netzwerk scannen. Einmal abgesehen davon, dass es nie schaden kann verschiedene Scanner laufen zu lassen, hat dieser den Vorteil, dass er anzeigt, welche Rechner im Netzwerk schon gepatcht sind und welche verletzbar bzw. ungepatcht sind.
Diese Info ist wichtig, da ja schon ein ungepatchter Rechner ausreicht um sich zu infizieren und dann wieder alle Userkonten zu sperren.

Links zu den Tools:
http://portableappz.blogspot.com/2008/05/portable-unlocker-187-multilan ...
http://www.microsoft.com/downloads/details.aspx?info=EXLINK&display ...
http://www.chip.de/downloads/McAfee-AVERT-Stinger-Conficker_35940896.ht ...
http://www.mcafee.com/us/enterprise/confickertest.html
http://www.eeye.com/html/products/retina/download_short/index.html
---> Hier gehts zur Diskussionsrunde... <----
Dani - 10.05.2009 22:36 Uhr
Ich habe mir erlaubt, die Diskussionen zu löschen...denn diese haben zwar indirekt mit der Anleitung zu tun tragen aber nichts bei. Bitte nächstes mal per PN oder eben einen Beitrag schreiben!
Ohh...außversehen zu viele Kommentare gelöscht. Werden die nächsten Stunden wiederhergestellt!!

Content-ID: 115596

Url: https://administrator.de/tutorial/conficker-in-einem-netzwerk-remote-aufspueren-und-beseitigen-115596.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

mrtux
mrtux 08.05.2009 um 13:59:34 Uhr
Goto Top
Hi !

Zitat von @Firestone3112:
Diese Info ist wichtig, da ja schon ein ungepatchter Rechner

Ich kann das Thema gepatcht oder ungepacht gar nicht nachvollziehen, in meinen Netzen gibt es keine ungepatchten Systeme. Treten nach dem Patchen Probleme auf, fliegt die Kiste aus dem Netz und wird notfalls (von Hand falls erforderlich) neu aufgesetzt.

Ungepatchte Systeme, so eine Nachlässigkeit rächt sich gnadenlos.

Sorry aber es ist eine Tatsache und ich würde sogar soweit gehen und behaupten, wer seine Systeme nicht patcht und kontrolliert, handelt von leichtsinnig bis grob fahrlässig. Was spricht gegen das Patchen ?

Danke für Deine Anleitung sie ist sehr interessant. Ich habe aber keine Probleme mit Malware, da passe ich auf wie ein Luchs.

mrtux
60730
60730 08.05.2009 um 14:25:07 Uhr
Goto Top
Hi,

ein paar kleine Tipps

  • wenn du eine Anleitung schreibst und Tools nennst, ist es "cool", wenn du Ross und Reiter nennst.

Schau dir auch mal die an.
z.B Stinger download... usw.

Gruß
2hard4you
2hard4you 08.05.2009 um 19:47:14 Uhr
Goto Top
Moin,


bei 450 PCs sollte eine zentral administrierbare Antivirensoftware (ePO oder anderes) und ein vernünftiges Patchmanagement (WSUS etc.) Pflicht sein - da kannst Du dann ganz entspannt Logs/Reports lesen und Dir Deine Pappenheimer vornehmen und ggf. *zwangspatchen*

dann klappt es auch mit Malware etc.

24
Firestone3112
Firestone3112 08.05.2009 um 21:01:48 Uhr
Goto Top
schön anzuschauen, wie schlau hier alle sind.
Wie der Name Anleitung schon sagt, ist es eine Anleitung für Leute, welche eine Anleitung benötigen.
Ich hätte es auch lassen können aber ich dachte eine "virtuelle Gemeinschaft" wäre da, um einander zu helfen und nicht vom Besserwissern agitiert zu werden. Da kann ich nur das gleichnamige Buch von Howard Rheingold empfehlen. Wer keine Anleitung braucht, braucht sie doch nicht lesen. Und schon gar nicht nur um sich hervorzuheben und mitzuteilen was eh jeder weiß.
Davon ganz abgesehen kann keiner die Situation des Unternehmens einschätzen.
Ein Domänenwechsel lässt einen bspw. schon mal dazu verleiten, zu meinen, das man für die letzten paar Rechner nicht noch so tief in die Tasche greifen muss (zumal die IT nicht immer über das Budget entscheidet). Aber wie gesagt, hinterher schlau daher zu reden ist nicht besonders klug.
Das ist einfach Verschwendung oder diskutiert Ihr auch stundenlang darüber, das Rauchen ja so schädlich ist, wenn einer Eurer Angehörigen an Lungenkrebs stirbt oder wie dumm doch einer ist, der einen Herzinfarkt hat, obwohl doch jeder weiß, dass wenig Stress, kein fettes Essen und viel Sport besser gewesen wäre?
Das ist wirklich schlau...

Wollte einfach nur denen helfen, die (aus welchem Grund auch immer) in solch eine Situation gekommen sind und NICHT eine Diskusion über eben diesen Grund führen.
2hard4you
2hard4you 08.05.2009 um 21:06:14 Uhr
Goto Top
Moin,

hier will keiner die Situation Deines Unternehmens oder Deine Rauchgewohnheiten beurteilen...

aber

in solch einer schon mittelgroßen Umgebung sollten genau solche Policies beachtet werden, damit nicht die IT ausfällt, und die Firma damit Schaden hat...

24

*edit* - Frag einfach mal Deinen Chef, was es die Firma kostet, wenn keiner eine Woche (Tag/Stunde - je nach Firmengröße) nicht arbeiten kann - IT-Ausfall - und dann leg Angebote daneben - für AV etc. - der nimmt sofort an

und danach frage den, was der mit Mitarbeitern macht, die sowas verursacht haben - Du darfste dem die nächste Managementmail sicher vorschreiben, was an der IT alles zu beachten ist....

^^
Firestone3112
Firestone3112 08.05.2009 um 21:27:09 Uhr
Goto Top
das weiss doch aber jeder.
Wozu ewig über eine ANLEITUNG diskutieren?
Ich hätte doch einen Forum Beitrag geschrieben wenn ich den Grund hätte diskutieren wollen.
WENN es einen erwischt haben sollte, dann hilft ihm doch solch ein Hinweis aber auch absolut gar nichts, oder? Dann braucht er nur eins, sofort eine Anleitung wie er den Wurm wieder los wird.
Und der findet dann auch genau wegen solch zahlloser Diskusionen auf die Schnelle nicht die Infos, welche er braucht.
Danach ist er dann genau so schlau und kann sich in Diskusionsrunden belesen wie er es das nächste mal besser mach bzw. vorbeugt.

Schreibt doch lieber ein paar produktive Hinweise zum Thema "conficker loswerden" und diskutiert an passender Stelle über "conficker vorbeugen" und zwar genau dort wo man diese Infos auch sucht und benötigt.

BG
2hard4you
2hard4you 08.05.2009 um 21:31:09 Uhr
Goto Top
Conficker und Konsorten vermeiden ist zielführend...
Firestone3112
Firestone3112 08.05.2009 um 21:53:43 Uhr
Goto Top
Da muss ich Dir Recht geben, nur hat das nichts mit einer Anleitung zum Bekämpfen zu tun.
Wie gesagt, an anderer Stelle besser aufgehoben. Der Tip von TimoBeil ist bspw. zielführende Kritik.

@timobeil
Das stimmt, ich werde die Links zu den Tools noch hinzufügen. War etwas schnell zusammengeschrieben weil ich dachte das es schnell veröffentlicht werden sollte. Andere schreiben immer von wochenlangem Stress nach Infektion und bei uns ging es wie o.g. ziehmlich schnell. (zugegeben, der Adrenalinspiegel war schon etwas höher face-wink

BG
Firestone3112
Firestone3112 10.05.2009, aktualisiert am 18.10.2012 um 18:38:09 Uhr
Goto Top
So, jetzt noch einmal etwas zum mit diskutieren, da es offensichtlich doch noch etwas zu den Gründen der Infektion zu sagen gibt.

MS Hotfixes vs. MPG

BG

Fire
Firestone3112
Firestone3112 10.05.2009 um 22:44:13 Uhr
Goto Top
@timobeil
Das stimmt, ich werde die Links zu den Tools noch hinzufügen. War etwas schnell zusammengeschrieben weil ich dachte das es schnell veröffentlicht werden sollte. Andere schreiben immer von wochenlangem Stress nach Infektion und bei uns ging es wie o.g. ziehmlich schnell. (zugegeben, der Adrenalinspiegel war schon etwas höher

BG
maddoc
maddoc 19.05.2009 um 00:00:28 Uhr
Goto Top
Also ich finde die Anleitung gut und alles sagend was man zum entfernen in dieser Situation braucht und machen muss. Danke dir, werde mir gleich die Tools herunterladen um gewappnet zu sein wenns passieren sollte.

Gruß Oli
jumilla
jumilla 13.06.2009 um 07:34:13 Uhr
Goto Top
Es gibt auch Netzwerke (Medizin z.B.) auf denen Spezialanwendungen laufen und wo die Softwareentwickler Patches abnicken müssen. Die Testphase kann Monate dauern. Da kann man nicht einfach immer alles patchen.
Firestone3112
Firestone3112 13.06.2009, aktualisiert am 18.10.2012 um 18:38:25 Uhr
Goto Top
Hallo jumilla,

da hast Du Recht und genau das habe ich auch als Argument gebracht, leider hat Dani (an dieser Stelle zu Recht) eingegriffen und nun ist Deine Antwort leider zwischen die anderen geraten. Diese jetzt natürlich auch.

Habe aber einen anderen Thread eröffnet:

MS Hotfixes vs. MPG

Beste Grüße.

Fire