Sophos Anti-Virus für Windows 2000+: Entfernen von W32/Confick und Mal/Conficker mit Sophos Anti-Virus

In diesem Artikel wird beschrieben, wie Sie Conficker von Computern entfernen können, wenn Sie Sophos Anti-Virus installiert haben.

Sie können das Conficker Clean-up Tool von der Sophos Website herunterladen.

Varianten
Varianten der Malware tragen unter anderem folgende Bezeichnungen: W32/Confick-A, W32/Confick-B, W32/Confick-C, Mal/Conficker-A, W32/CONFICKMEM-A, W32/CONFICKMEM-B, W32/CONFICK-D, WORM_DOWNAD.AD, W32/Conficker.worm, Worm:Win32/Conficker.gen!A, Worm:W32/Downadup, Net-Worm.Win32.Kido

Problem
In diesem Artikel wird die Funktionsweise von Viren der Confick-Familie sowie deren Entfernung erläutert.

Hinweis: Führen Sie die Anweisungen in diesem Artikel in der genannten Reihenfolge durch, um sicherzustellen, dass der Conficker-Virus vollständig aus dem Netzwerk entfernt wird. Der Virus kann sich einfach replizieren und Computer und Netzwerkfreigaben so erneut infizieren. Bei genauer Befolgung der folgenden Anweisungen wird der Virus vollständig entfernt.

• Nähere Informationen zu der Virenfamilie können Sie den Sicherheitsseiten auf der Sophos Website entnehmen.
• Confick-Viren breiten sich über die Sicherheitslücke MS08-067 aus.
• Microsoft hat daher im Oktober 2008 einen kritischen Sicherheits-Patch veröffentlicht: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
• Im letzten Abschnitt des Artikels finden Sie nähere Informationen hierzu.
• Stellen Sie sicher, dass auf allen Computern Antiviren-Software installiert ist und sich auf dem neuesten Stand befindet.

Sophos Produkt und Version
Sophos Anti-Virus für Windows 2000+

Betriebssystem:
Microsoft Windows

Der Virus

Confick-Viren breiten sich über drei Methoden aus:

1. Missbrauch der Sicherheitslücke MS08-67
In der Regel gerät der Virus über die Sicherheitslücke von Microsoft ins Netzwerk. So nutzt der Virus die Schwachstelle aus:

• Eine Kopie des Wurms wird im Ordner "temporäre Internetdateien" mit der Erweiterung JPG oder PNG erstellt. Diese Dateien erscheinen bei einem Virenbefall zuerst.
• Im Ordner "System32" wird eine dll-Datei erstellt, z.B. C:\Windows\System32\amcophji.dll.
• Daraufhin wird ein Dienst erstellt, der die dll-Datei ausführt.
• Die Datei wird als Handle in einem svchost.exe-Prozess ausgeführt (in der Regel der Prozess, der "Netsvcs" ausführt).

Sie können die Ausbreitung des Virus über diese Methode durch Herunterladen und Installieren des Patches und die anschließende Bereinigung des Computers unterbinden.

2. Ausbreitung über Windows-Dateifreigabe
Wenn der Virus ins Netzwerk gelangt ist, kann er sich über die Sicherheitslücke von Microsoft (siehe oben) oder durch Zugriff auf die Datei- und Admin-Freigaben im Netzwerk ausbreiten.

Wenn der Virus einen Computer befällt, erstellt er im Ordner "System32" eine Datei mit einem willkürlichen Dateinamen und einer willkürlichen Erweiterung. Ein geplanter Task (als "SYSTEM" ausgeführt) führt die Datei über "rundll32.exe" aus.

• Eine dll-Datei mit willkürlicher Erweiterung und willkürlichem Namen wird im Ordner "System32" - z.B. C:\Windows\System32\zdtnx.g erstellt.
• Ein geplanter Task wird erstellt und führt die Datei mit dem willkürlichen Namen über "rundll32.exe" aus.
• Der Task heißt AT*.job (* steht für eine laufende Nummer).
• Er wird in einem rundll32.exe-Prozess ausgeführt.
• Jedem erstellten geplanten Task wird ein "rundll32.exe"-Prozess zugeordnet.

Deaktivieren Sie die Datei- und Druckerfreigabe und bereinigen Sie alle Computer, um zu verhindern, dass sich der Virus weiter über diese Methode ausbreiten kann.

Die On-Access-Überprüfung von Sophos sorgt dafür, dass diese geplanten Tasks nicht ausgeführt werden und verhindert so eine erneute Infektion. Auch wenn sich die dll-Datei auf der Festplatte befindet, darf sie bei aktivierter On-Access-Überprüfung nicht ausgeführt werden.

3. Ausbreitung über Wechselmedien (z.B. USB-Laufwerke)
Wenn ein Wechsellaufwerk an den infizierten Computer angeschlossen wird,

• kopiert sich der Conficker-Wurm in den Ordner "RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx" im Laufwerk ("x" steht für eine zufällige Zahlenfolge) und
• legt die Datei "autorun.inf" im Stammverzeichnis des Laufwerks ab.

Die Dateien und Verzeichnisse sind versteckt.

Durch die Datei "autorun.inf" wird der Wurm ausgeführt, wenn das Laufwerk an einen Computer angeschlossen wird, bei dem die automatische Wiedergabe ("Autoplay") aktiviert ist, oder wenn das Laufwerk in Windows Explorer geöffnet wird.

Wenn der Wurm von einem Wechsellaufwerk ausgeführt wird, kopiert er sich in das Verzeichnis "Windows\system32" mit einer .dll-Erweiterung und fügt Registrierungsdienstschlüssel wie die erläuterten Infektionsmethoden hinzu.

Vorgehensweise

Das Verfahren umfasst vier Schritte und muss vollständig durchgeführt werden.

1. Vorbereitung der Überprüfung
2. Netzwerkquarantäne zur Verhinderung der Infektionsausbreitung
3. Sperren von Diensten über die Windows-Gruppen-Richtlinie zur Verhinderung der Ausbreitung/Ausführung
4. Bereinigung

Es empfiehlt sich, ebenfalls folgenden Artikel zu Rate zu ziehen: Sophos Anti-Virus: Auffinden von Conficker-Infektionen.

Stellen Sie sicher, dass die im Folgenden erläuterten Einstellungen auf allen Computern übernommen werden. So kann der Sophos On-Access-Scanner den Virus an der Ausführung auf dem Computer (als Dienst oder Task) hindern .

Lesen Sie auch Aktuelle Haupt-Threats: Conficker, Virtumundo.

1. Scan-Vorbereitung

1. Installieren Sie den Patch MS08-067 (KB958644) auf allen Computern (mit oder ohne Virenbefall).
2. Stellen Sie in Enterprise Console folgende Optionen für die On-Access-Scanner-Richtlinie ein:
   • Beim Lesen
   • Beim Schreiben
   • Deaktivieren Sie die "Automatische Bereinigung"
   • Wählen Sie als Maßnahme die Option "Nichts" oder "Zugriff verweigern" aus.
3. Stellen Sie sicher, dass die HIPS-Einstellungen wie folgt lauten:
   • Detect Suspicious Behaviour = True
   • Detect Buffer Overflow = True
   • Alert Only = False
4. Aktivieren Sie die Überprüfung aller Dateien für On-Demand-Überprüfungen:
   • Öffnen Sie die Antiviren-Richtlinie(n) in Enterprise Console.
   • Klicken Sie auf "Erweiterungen und Ausschlüsse"
   • Aktivieren Sie das Kontrollkästchen.
   • Klicken Sie auf "OK".
5. Stellen Sie sicher, dass die Antiviren-Richtlinie für alle Computer gilt.
6. Unter Umständen ist ein Neustart des Computers erforderlich. (Siehe Schritt 4b unten.)

2. Netzwerkquarantäne zur Verhinderung der Infektionsausbreitung

Führen Sie einen der folgenden Schritte durch:

• Trennen Sie alle infizierten Computer durch Abziehen der Netzwerkkabel vom Netzwerk ab.
  oder
• Unterbinden Sie den Netzwerkzugriff über Client-Firewalls:
  
  • Bei Sophos Client Firewall (Anmerkung: Die Firewall muss auf allen Computern installiert sein; sie können in Ihrer Lizenz nachsehen, ob Sie das Produkt verwenden können):
    1. Öffnen Sie Enterprise Console und bearbeiten Sie die Firewall-Richtlinie.
    2. Rufen Sie die Registerkarte "LAN" auf und deaktivieren Sie die "NETBIOS"-Optionen für alle Netzwerkverbindungen.
       
  • Bei Einsatz der Windows-Firewall über eine Gruppenrichtlinie:
    1. Bearbeiten Sie die Gruppenrichtlinie für alle Computer.
    2. Sie finden die Einstellung hier: "Computerkonfiguration" > "Administrative Vorlagen" > "Netzwerk" > "Netzwerkverbindungen" "Windows-Firewall" > "Domänenprofil" > "Windows-Firewall": Ausnahme für Datei- und Druckerfreigabe zulassen
    3. Doppelklicken Sie darauf und deaktivieren Sie die Option.

HINWEIS:
Unter Umständen führt die Ausführung der Methoden dazu, dass Sophos Updates nicht mehr heruntergeladen werden können. Es empfiehlt sich daher, dass Sie einen der folgenden Schritte durchführen:

• Hinzufügen einer Ausnahme, um der Datei- und Druckerfreigabe Zugriff auf den EM Console-Server/die Update-Server, zu erlauben
• Einrichten eines WebCIDs, damit Updates über HTTP erfolgen können. Entsprechende Anweisungen finden Sie hier: http://www.sophos.de/support/knowledgebase/article/38238.html

3. Sperren von Diensten über die Windows-Gruppen-Richtlinie zur Verhinderung der Ausbreitung/Ausführung

1. Deaktivieren des Taskplanerdienstes (Hinweis: nach Änderung dieser Einstellung funktionieren zeitgesteuerte Überprüfungen nicht mehr. Sie können jedoch weiterhin eine "vollständige Systemüberprüfung" in Enterprise Console durchführen.)
   
   • "Computerkonfiguration" > "Windows-Einstellungen" > "Sicherheitseinstellungen" > "Systemdienste".
   • Suchen Sie den Dienst "Taskplaner".
   • Konfigurieren Sie diese Richtlinie.
   • Wählen Sie "Deaktiviert".
2. Deaktivieren Sie die automatische Wiedergabe ("Autoplay") für USB-Geräte. Verfahren Sie hierbei nach den Anweisungen im Artikel http://support.microsoft.com/kb/953252. Wenn die Schritte nicht genau befolgt werden, kann der Wurm unter Umständen ausgeführt werden, wenn das USB-Laufwerk in Explorer oder per Doppelklick in Arbeitsplatz geöffnet wird.

Sie können die genannten Option wiederherstellen, wenn das System vollständig bereinigt wurde und Sie Patch "MS08-67" installiert haben.

4. Bereinigung

Verfahren Sie je nach der in Schritt 2 ergriffenen Maßnahme wie folgt:

• Die Computer wurden abgetrennt:
  
  1. Melden Sie sich mit lokalen Administrator-Rechten an. Melden Sie sich nicht als Domänenadministrator an.
  2. Öffnen Sie den Quarantäne-Manager, wählen Sie alle Objekte aus und klicken Sie auf "Aus der Liste entfernen".
  3. Starten Sie eine vollständige Systemüberprüfung: Folgende Ergebnisse sind möglich:
     1. Wenn im Rahmen der vollständigen Systemüberprüfung eine Instanz von W32/ConfickMEM-A oder W32/ConfickMEM-B gemeldet wird, bereinigen Sie dieses Objekt im Quarantäne-Manager und führen Sie dann sofort eine weitere vollständige Überprüfung und Bereinigung durch.
        W32/ConfickMEM-A oder W32/ConfickMEM-B zeigt eine aktive Conficker-Infektion auf diesem Computer an. Bereinigen Sie diese Infektion, bevor Sie sich mit weiteren erkannten Conficker-Elementen befassen. Die Bereinigung stoppt den Wurm im Speicher. Die Wurmdateien auf der Festplatte werden im Rahmen der zweiten Überprüfung erkannt.
     2. Bei der vollständigen Systemüberprüfung wird gemeldet, dass Dateien im Verzeichnis "Windows\system32" nicht gescannt werden konnten (Fehlertext: '<Dateiname> hat SAV-Schnittstellenfehler "0xa0040210" ausgegeben: Zugriff auf die Datei nicht möglich.') und keine Instanzen von "W32/ConfickMEM-A" oder "W32/ConfickMEM-B" beim Scan gemeldet wurden, stellen Sie sicher, dass der On-Access-Scanner wie oben erläutert aktiviert wurde, starten Sie den Computer erneut und führen Sie erneut eine vollständige Systemüberprüfung durch.
        Unter Umständen liegt auf dem Computer eine aktive Conficker-Infektion vor, so dass die Datei auf der Festplatte nicht überprüft werden kann. Starten Sie den Computer neu. Der On-Access-Scanner verhindert dann, dass der Wurm geladen wird und die Datei kann überprüft werden.
  4. Führen Sie nach Abschluss der Überprüfung eine Bereinigung über den Quarantäne-Manager durch.
  5. Unter Umständen ist bei der Bereinigung ein Neustart erforderlich, damit alle Komponenten entfernt werden können.
  6. Führen Sie erneut eine Überprüfung auf dem Computer durch.
     
• Die Dateifreigabe wurde in Client-Firewalls deaktiviert:
  
  Öffnen Sie Enterprise Console und führen Sie folgende Schritte durch:
  
  1. Beheben Sie Alerts und Fehler in Enterprise Console.
  2. Führen Sie eine Überprüfung aller Computer gleichzeitig durch. Rechtsklicken Sie hierzu in der Konsole auf die Computer und wählen Sie die Option "Vollständige Systemüberprüfung".
  3. Führen Sie dann per Rechtsklick eine Bereinigung aller Computer durch Auswahl der Option "Bedrohungen bereinigen" durch.
  4. Unter Umständen ist bei der Bereinigung ein Neustart erforderlich, damit alle Komponenten entfernt werden können.
  5. Überprüfen Sie die Computer erneut.
  6. Wiederholen Sie bei Bedarf auch die Bereinigung.

Erneuter Befall

Wenn sich die Dateifreigabe in Windows nicht deaktivieren lässt oder ein infizierter USB-Stick ins Netzwerk gelangt, werden bereinigte Computer Umständen erneut infiziert. Computer, auf denen der On-Access-Scanner ausgeführt wird, sind zwar vor erneutem Befall geschützt, empfangen jedoch auch über die Dateifreigabe eine Kopie der dll-Dateien des Wurms vom infizierten Computer.

Diese Instanzen werden vom Quarantäne-Manager als Ergebnisse der On-Access-Überprüfung ausgegeben und sind zweitrangig. Sie sollten vorrangig wie oben erläutert aktive Conficker-Erkennungen beheben.

Nach der Bereinigung aller Computer mit aktiver Conficker-Infektion (z.B. W32/ConfickMEM-A oder W32/ConfickMEM-B, siehe Abschnitt 4, Schritt 3.1) lassen sich die dll-Dateien des Wurms über eine vollständige Überprüfung und Bereinigung entfernen.

Weitere Informationen

Nähere Informationen zu der Virenfamilie können Sie den Sicherheitsseiten auf der Sophos Website entnehmen.

Confick-Viren breiten sich über die Sicherheitslücke MS08-067 aus.

Microsoft hat daher im Oktober 2008 einen kritischen Sicherheits-Patch veröffentlicht: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

• Rufen Sie zum Überprüfen, ob der Patch installiert wurde, das Dienstprogramm "Software" auf und suchen Sie nach KB958644 (das Kontrollkästchen "Updates anzeigen" muss aktiviert sein).
• Aktivieren Sie "HIPS" und "BOPs" und stellen Sie sicher, dass die Option "Nur Alarme" deaktiviert ist. Hierdurch wird zwar ein erneuter Virenbefall unterbunden. HIPS verhindert allerdings nicht, dass der Virus ausgeführt wird.
• Die Infektion breitet sich auch über Netzwerkfreigaben aus. Das Programm versucht, die Kennwörter von Benutzerkonten über eine Wörterbuchanwendung zu knacken. Wenn das Programm das Kennwort eines bestimmten Kontos nicht "errät", wird das Konto unter Umständen gesperrt, weil zu oft ein falsches Kennwort eingegeben wurde (je nach Konfiguration von Active Directory).
• Der Virus kopiert eine willkürliche Datei mit willkürlicher Erweiterung in den Ordner "c:\windows\system32". Außerdem wird ein geplanter Task mit der Bezeichnung "ATx.job" erstellt ("x" steht hierbei für eine Zahl). Der geplante Task führt die Datei im Ordner "system32" aus.
• Der Virus versucht eventuell, einige Websites aufzurufen (auch vertrauenswürdige Sites).
• Er versucht, sich über unterschiedliche Domänen zu aktualisieren. Client-Firewalls können die Ausbreitung des Virus eindämmen.
• Der Virus breitet sich auch über USB-Laufwerke und andere Wechselmedien aus. Überprüfen Sie solche Laufwerke und Medien, bevor Sie sie erneut einsetzen.
• Mit einer Gruppenrichtlinie können Sie verhindern, dass ein neuer geplanter Task erstellt wird. Anweisungen hierzu finden Sie unter http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/92819.mspx?mfr=true
• Sophos kann bei Anwendung der genannten Firewall-Methoden keine Updates herunterladen. Dieses Problem lässt sich wie folgt umgehen:
  • Konfigurieren Sie die Einstellungen des sekundären Servers in der Update-Richtlinie von Enterprise Console so, dass die Computer Updates von Sophos beziehen. Anweisungen hierzu finden Sie im Artikel: http://www.sophos.de/support/knowledgebase/article/12354.html
  • Fügen Sie in den Firewall-Richtlinien eine Ausnahme hinzu und legen Sie fest, dass Datei-und Druckerfreigabeverbindungen zu den EM Console/EM Library-Servern erlaubt werden. Dadurch werden die Server möglicherweise infiziert, da Clients darauf zugreifen können.
• Dateien, die auf den Computern abgelegt werden, stehen in Zusammenhang mit dem Computernamen. Das bedeutet, dass der Dateiname der abgelegten dll-Datei einer bestimmten Conficker-Variante auf einem bestimmten Computer auch immer den willkürlichen Dateinamen besitzt.