Skip to main content

Conficker-Wurm: Unterstützung beim Schutz von Windows vor Conficker

Veröffentlicht: 6. Februar 2009 | Zuletzt aktualisiert: 10. April 2009

Diese Seite soll IT Pro-Kunden die erforderlichen Informationen bereitstellen, mit deren Hilfe die Kunden ihre Systeme vor dem Conficker-Wurm schützen und infizierte Systeme wiederherstellen können.

Wenn Sie Heimanwender sind, besuchen Sie bitte Protect Yourself from the Conficker Computer Worm (Schützen Sie sich vor dem Computerwurm Conficker.

Informationen zum Conficker-Wurm

Am 23. Oktober 2008 veröffentlichte Microsoft ein wichtiges Sicherheitsupdate, MS08-067, um ein Sicherheitsrisiko im Serverdienst von Windows zu beheben, der zum Zeitpunkt der Veröffentlichung Gegenstand gezielter Angriffe mit begrenztem Umfang war. Dieses Sicherheitsrisiko kann es einem anonymen Angreifer ermöglichen, durch einen Netzwerkangriff, bei dem die für "Netzwerkwürmer" typischen Angriffsmethoden verwendet werden, Kontrolle über ein anfälliges System zu erlangen. Seit der Veröffentlichung von MS08-067 hat das Microsoft Malware Protection Center (MMPC) die folgenden Varianten von Win32/Conficker identifiziert:

 *Auch Conficker B++ genannt
 **Auch Conficker.C und Downadup.C genannt

Schutz von PCs vor Conficker

  1. Wenden Sie das Sicherheitsupdate für MS08-067 an. Schlagen Sie im Sicherheitsbulletin weitere Information zu diesem Sicherheitsrisiko, der betroffenen Software, Erkennungs- und Bereitstellungstools sowie Anleitungen und Bereitstellungsinformationen zum Sicherheitsupdate nach.
  2. Stellen Sie sicher, dass eine aktuelle Antivirensoftware von einem vertrauenswürdigen Hersteller, beispielsweise Forefront Client Security oder Windows Live OneCare von Microsoft ausgeführt wird. Antivirensoftware kann auch von vertrauenswürdigen Dritten, z. B. den Mitgliedern der Virus Information Alliance bezogen werden.
  3. Prüfen Sie, ob aktuellerer Schutz für Sicherheitssoftware oder Geräte verfügbar ist, beispielsweise Antivirensoftware, netzwerkbasierte Systeme zur Erkennung von Eindringversuchen oder hostbasierte Systeme zur Verhinderung des Eindringens. Das Microsoft Active Protection Program (MAPP) bietet Partnern frühzeitig Zugriff auf Microsoft-Informationen zu Sicherheitsrisiken. Eine Liste mit Partnern und Links zu deren aktiven Schutzmechanismen finden Sie auf der Seite MAPP Partners.
  4. Isolieren Sie veraltete Systeme unter Verwendung der im Microsoft Windows NT 4.0 and Windows 98 Threat Mitigation Guide beschriebenen Methoden.
  5. Implementieren Sie starke Kennwörter, wie im Beitrag Creating a Strong Password Policy (Erstellen einer Richtlinie für starke Kennwörter) beschrieben.
  6. Deaktivieren Sie die automatische Wiedergabefunktion über die Registrierung oder mithilfe der Gruppenrichtlinien, wie im Microsoft Knowledge Base-Artikel 967715 erläutert. Microsoft veröffentlichte Security Advisory 967940, um Benutzer davon in Kenntnis zu setzen, dass die Updates, welche den Benutzern das Deaktivieren der automatischen Wiedergabe bzw. des AutoAusführen-Features ermöglichen, über die Kanäle für automatische Aktualisierungen bereitgestellt wurden.
    HINWEIS: Benutzer von Windows 2000, Windows XP und Windows Server 2003 müssen das mit dem Microsoft Knowledge Base-Artikel 967715 verbundene Update bereitstellen, um das AutoAusführen-Feature erfolgreich deaktivieren zu können. Benutzer von Windows Vista und Windows Server 2008 müssen das mit dem Sicherheitsbulletin MS08-038 verbundene Update bereitstellen, um das AutoAusführen-Feature erfolgreich deaktivieren zu können.

Bereinigen von Systemen von Conficker

Laden Sie das Windows Malicious Software Removal Tool (MSRT) manuell auf einen nicht infizierten PC herunter, und installieren Sie es auf infizierten PCs, um die infizierten Systeme zu bereinigen.

Conficker-Zeitachse

  • Am 21. November 2008 identifizierte das MMPC Wurm:Win32/Conficker.A. Dieser Wurm versucht sich selbst zu verbreiten, indem er das in MS08-067 behandelte Sicherheitsrisiko für netzwerkbasierte Angriffe ausnutzt. Das MMPC fügte noch am selben Tag Microsoft Forefront, Microsoft OneCare und dem Windows Live OneCare Safety Scanner Signaturen und Erkennungsmechanismen hinzu.
  • Am 25. November 2008 gab das MMPC über seinen Weblog Informationen zum Wurm:Win32/Conficker.A weiter.
  • Am 29. Dezember 2008 identifizierte das MMPC die zweite Variante Wurm:Win32/Conficker.B und fügte noch am selben Tag Microsoft Forefront, Microsoft OneCare und dem Windows Live OneCare Safety Scanner Signaturen und Erkennungsmechanismen hinzu.
    HINWEIS:  Wurm:Win32/Conficker.B kann bei Systemen erfolgreich sein, auf das das mit MS08-067 verbundene Sicherheitsupdate angewendet wurde.
  • Am 31. Dezember 2008 gab das MMPC über seinen Weblog Informationen zum Wurm:Win32/Conficker.B weiter.
  • Am 13. Januar 2009 fügte das MMPC Funktionen, die es ermöglichten, sowohl Wurm:Win32/Conficker.A als auch Wurm:Win32/Conficker.B zu entfernen, in die im Januar 2009 veröffentlichte Version des Windows Malicious Software Removal Tool ein und veröffentlichte in seinem Weblog die entsprechenden Informationen hierzu.
  • Am 22. Januar 2009 stellte das MMPC in seinem Weblog kompakte technische Informationen zum Wurm:Win32/Conficker.B bereit.
  • Am 12. Februar 2009 veröffentlichte das Microsoft Security Response Center (MSRC) Informationen zu Domänen, mit denen mit Conficker infizierte Systeme eine Verbindung herzustellen versuchen. Microsoft gab auch Informationen zu einer Partnerschaft mit führenden Vertretern der IT-Branche und des Bildungsbereichs heraus, deren Ziel die Deaktivierung von Domänen ist, auf die Conficker abzielt.
  • Am 12. Februar 2009 setzte Microsoft eine Belohnung in Höhe von 250.000 USD für Hinweise aus, die zur Ergreifung und Verurteilung derjenigen führen, die für die illegale Veröffentlichung des böswilligen Conficker-Codes im Internet verantwortlich sind. Microsoft bietet diese Belohnung an, weil das Unternehmen den Conficker-Wurm als kriminellen Anschlag begreift. Microsoft möchte die Behörden bei der Ergreifung der dafür verantwortlichen Kriminellen unterstützen. Diese Belohnung kann an Bürger eines jeden Landes ausgezahlt werden, sofern die Gesetze des betreffenden Landes dies zulassen, weil Internetviren die Internetcommunity weltweit betreffen.
  • Am 20. Februar 2009 veröffentlichte das MMPC in seinem Weblog technische Informationen zum Wurm:Win32/Conficker.C.
  • Am 27. März 2009 stellte das MMPC in seinem Weblog weitere Informationen zu der neuen P2P-Funktionalität in Wurm:Win32/Conficker.D bereit.

    Personen, die über Informationen zum Conficker-Wurm verfügen, werden gebeten, die für sie zuständigen internationalen Strafverfolgungsbehörden zu kontaktieren. Darüber hinaus hat Microsoft eine Antivirus Reward Hotline (+1-425-706-1111) und eine Antivirus Reward Mailbox ( avreward@microsoft.com) zur Weitergabe sachdienlicher Hinweise eingerichtet.

Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur -Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die -Website verlassen.

Möchten Sie teilnehmen?