Und täglich grüßt der Conficker!

Sicherheitsexperten warnen und befinden sich derzeit in Krisenstimmung, wenn es darum geht was der Conficker am 01. April 2009 anstellen könnte. Genaues wissen die Fachleute aus dem IT-Sicherheitsbereich nicht. Vermutet wird, dass der Conficker alias Downadup oder Kidokiller neuen Code aus dem Internet läd, diverse Domains dabei anspricht. Zudem haben sich an der UNI Bonn ein paar Deutsche Forscher (Felix Leder und Tillmann Werner) zusammengetan deren Ziel ist den Wurm zu bekämpfen.

Dabei entwickelten Sie ein Programm, welches die Conficker Varianten .A, .B und .C einfacher und schneller erkennt und gezielt bekämpft. Per Memory Disinfector kann man den Arbeitsspeicher prüfen, ob einer der Wurmvarianten gerade gestartet ist. Aussehen tut es in der Kommandozeile so:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
----------------------------------
Conficker Memory Disinfector
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

Examining [0] [System Process]: Error [87] OpenProcess: Falscher Parameter.

no match
Examining [4] System: no match
Examining [1516] smss.exe: no match
Examining [1712] csrss.exe: no match
Examining [1736] winlogon.exe: no match
Examining [1780] services.exe: no match
Examining [1792] lsass.exe: no match
Examining [1960] ati2evxx.exe: no match
Examining [1976] svchost.exe: no match
Examining [396] svchost.exe: no match
Examining [564] svchost.exe: no match
Examining [660] svchost.exe: no match
Examining [1036] spoolsv.exe: no match
Examining [1080] scardsvr.exe: no match
Examining [1412] schedul2.exe: no match
Examining [1424] AppleMobileDeviceService.exe: no match
Examining [1444] AVMIKE.EXE: no match
Examining [1468] avp.exe: Error [5] OpenProcess: Zugriff verweigert

no match
Examining [1480] mDNSResponder.exe: no match
Examining [1548] CERTSRV.EXE: no match
Examining [1592] cjpcsc.exe: no match
Examining [1756] cvpnd.exe: no match
Examining [508] LSSrvc.exe: no match
Examining [1112] mdm.exe: no match
Examining [1168] PGPserv.exe: no match
Examining [1336] svchost.exe: no match
Examining [2368] alg.exe: no match
Examining [2748] BatteryLife.exe: no match
Examining [3220] SynTPLpr.exe: no match
Examining [3228] SynTPEnh.exe: no match
Examining [3236] HControl.exe: no match
Examining [3244] TrueImageMonitor.exe: no match
Examining [3256] TimounterMonitor.exe: no match
Examining [3272] schedhlp.exe: no match
Examining [3300] avp.exe: Error [5] OpenProcess: Zugriff verweigert

no match
Examining [476] iTunesHelper.exe: no match
Examining [3344] ctfmon.exe: no match
Examining [3356] PGPtray.exe: no match
Examining [1836] iPodService.exe: no match
Examining [340] ATKOSD.exe: no match
Examining [3512] cmd.exe: no match

Zum anderen prüft dieses Programm die Registrierung nach einer Verseuchung und findet dabei auch deren Dateien auf dem lokalen System. Und dann gibt es noch ein weiteres Programm namens Nonficker Vaxination Tool, welches als Dienst zum Scan des Systems eingerichtet werden kann.

Heute Morgen ging es eher mir an den Kragen. Ich durfte mir eine Client im Netzwerk ansehen der angeblich mit einem Conficker-Wurm infiziert war! Kurzerhand mal die Windows Systemwiederherstellung deaktiviert, die Registrierung (Autoruns) nach Conficker durchsucht und diverse Tools wie:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 C:\>KidoKiller.exe -p %windir%\System32
 Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
 version 3.0     Jan 29 2009 11:34:58
 scanning        threads ...

scanning        modules in svchost.exe...
 scanning        modules in services.exe...
 scanning        modules in explorer.exe...

scanning        C:\WINDOWS\System32 ...
 completed
 Infected files:                 0
 Infected threads:               0
 Splices functions:              0
 Cured files:                    0
 Fixed registry keys:            0
 Drücken Sie eine beliebige Taste . . .

durchlaufen lassen. Großartig wurde nichts gefunden. Alle Clients, die ich betreue haben von Haus aus alle Microsoft Windows Updates und deren Sicherheitsupdates. Daran kann es also nicht liegen! Was nun? Ok, auf einem System, welches ich zum Test nutze, läuft der Virenscanner Kaspersky. Auch dieser hat alle Updates! Zwischenzeitlich habe ich dann mal folgendes Ergebnis mit dem Programm “conficker_mem_killer” erhalten:

1
2
3
4
5
6
7
8
9
10
MATCH at offset 0787DC60 of block 077B0000
Pattern for Conficker.A found
Injecting shellcode
MATCH at offset 0787DD00 of block 077B0000
Pattern for Conficker.B found
Injecting shellcode
MATCH at offset 0787DF20 of block 077B0000
Pattern for Conficker.C found
Injecting shellcode
match

Woran kann dies liegen? Wie kam denn der Fehler zustande? Im Hintergrund wurde der Dienst des Windows Defender deaktiviert. Huch? Die Date MsMpEng.exe wurde auf Grund eines unerwartenden Fehlers beendet. Anscheinend hat das Programm “conficker_mem_killer” die Signaturen von Conficker.A, Conficker.B und Conficker.C im Windows Defender gefunden. Mag komisch klingen ist aber wirklich so. Den Windows Defender habe ich kurzerhand deinstalliert. Ist bei Dir auch schon mal dieser Fehler aufgetreten?

Dieser Beitrag wurde unter Kaspersky, Security, Windows abgelegt und mit , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Und täglich grüßt der Conficker!

  1. Torsten sagt:

    Kidokiller ist das (alte) Tool, um den Kido zu beseitigen. Die verschiedenen Aliase wären also Conficker, Downadup und Kido.
    Würde Dir außerdem empfehlen, den KKiller in der Version 3.4.1 zu nutzen und nicht die alte Version Kidokiller.

  2. ... sagt:

    Bei mir siehts genauso aus.
    Der Memory Disinfector tötet den Windows Defender, das Datei/Registrierungstool und Antivir hingegen finden nichts.
    Seltsam…

  3. Adrian Sauer sagt:

    Mag wohl daran liegen, dass die Signaturen vom Windows Defender sich bei Programmstart und -ende noch im Arbeitsspeicher befinden. Warum das so ist, werde ich die Tage erfahren.

    Gruß

Kommentare sind geschlossen.