Infos und Beseitigungstipps zum Conflicker-Wurm

Der Wurm W32/Conflicker heisst bei manchen Antiviren-Labors auch Conficker, Win32.Kido oder Downadup. Er installiert sich, indem er mehrere Einträge in der Windows-Registry verändert und Dateien in verschiedenen Windows-Ordnern ablegt.

Laut Beschreibung von F-Secure schaltet der Schädling auf dem nun infizierten PC folgende Windows-Dienste ab:
- Windows Automatischer Update-Dienst (wuauserv)
- Intelligenter Hintergrundübertragungsdienst (BITS)
- Windows Sicherheitscenter (wscsvc)
- Windows-Defender (WinDefend)
- Windows Fehlerberichterstattungsdienste (ERSvc und WerSvc)

Er verändert zudem Netzwerk- und Interneteinstellungen und sperrt den Zugriff, wenn der Benutzer bestimmte Webseiten aufrufen will. Es handelt sich um eine sehr lange Liste mit Domainnamen, die hauptsächlich zu Sicherheitsunternehmen gehören, z.B. avira, ca, f-secure, aber auch microsoft und weitere mehr.

Conflicker sucht nun im lokalen Netzwerk nach infizierbaren PCs oder Servern und versucht sich dort mit einer Liste möglicher Kennwörter einzuloggen und zu installieren. Ausserdem installiert er eine kleine Webserver-Komponente und versucht sich via Internet auf andere PCs auszubreiten. Er ist auch in der Lage, weitere Komponenten von ständig wechselnden Webseiten herunterzuladen. Hiermit mutiert er zum Trojaner, der z.B. Daten ausschnüffelt. Nicht zuletzt kopiert er sich auch auf lokale oder verbundene Laufwerke, inkl. Wechseldatenträgern. Letzteres ist der Grund, warum Sie einen USB-Stick nur mit Schreibschutz an einen infizierten PC stöpseln sollten.

Wichtig: Für die Verbreitung missbraucht er in erster Linie eine im Oktober 2008 in verschiedenen Windows-Versionen (2000, XP, Vista, Server 2003 und 2008) entdeckte Sicherheitslücke. Microsoft hatte Ende Oktober ein Update nachgeschoben. Wer also die Windows-Updates der letzten zwei Monate automatisch oder manuell eingespielt hat, ist von dieser Lücke nicht mehr betroffen.

Prüfen Sie, ob das Update installiert ist: Öffnen Sie in der Systemsteuerung den Bereich Software (in Vista: Programme/Programme und Funktionen). Haken Sie in Windows XP «Updates anzeigen» an bzw. klicken Sie in Vista auf «Installierte Updates anzeigen». Es handelt sich um das «Sicherheitsupdate für Windows XP (KB958644)» bzw. in Windows Vista um das «Sicherheitsupdate für Microsoft Windows (KB958644)», siehe Screenshot.

Falls das Update via Windows-Update-Webseite aufgrund der Infektion nicht klappt, laden Sie die Update-Datei mit einem sauberen PC herunter. Bringen Sie die Datei z.B. mit einem schreibgeschützten USB-Stick auf den infizierten PC und installieren Sie sie manuell. Sie finden die Updates hier:
- für Windows XP 32bit
- für Windows XP 64bit
- für Windows Vista 32bit
- für Windows Vista 64bit

Beseitigung

Das finnische Antivirus-Unternehmen F-Secure hat zum Säubern betroffener PCs ein kostenloses Werkzeug bereitgestellt. Sie sollten aber zuvor das Update installieren, falls noch nicht geschehen.

Melden Sie sich an Ihrem PC mit Administratorrechten an. Laden Sie nun die Downadup-Säuberungsdatei (f-downadup.zip) herunter und speichern Sie die Datei auf dem Desktop. Sollte dies aufgrund der Infektion nicht klappen, laden Sie die Säuberungsdatei mit einem sauberen PC herunter, speichern sie auf einen USB-Stick und versehen diesen am besten mit einem Schreibschutz. Bringen Sie die Datei nun zum infizierten PC und speichern Sie sie auf dem Desktop eines Administrator-Kontos. Klicken Sie die Datei f-downadup.zip mit Rechts an und wählen Sie Alle extrahieren. Lassen Sie die Datei in einen neuen Ordner «f-downadup» entzippen.

Unter Windows XP gehts nun zu Start/Ausführen, tippen Sie cmd ein und drücken Sie Enter. Unter Windows Vista tippen Sie nach einem Klick auf den Vista-Button cmd.exe ein. Warten Sie, bis cmd.exe im Startmenü erscheint, klicken Sie es mit Rechts an und gehen Sie zu Als Administrator ausführen. Der Rest gilt wieder für beide Betriebssysteme. Tippen Sie folgenden Befehl ein und drücken Sie Enter (das einzige Leerzeichen steht nach "cd"):
cd %userprofile%\Desktop\f-downadup
Jetzt stehen Sie im Konsolenfenster im Ordner, in den Sie die Säuberungsdatei entpackt haben. Tippen Sie nun zuerst f-downadup.exe ein und drücken die Enter-Taste. Achten Sie genau darauf, ob etwas gefunden wird, und welche Dateien es sind. Weil das Werkzeug heuristisch vorgeht, könnten auch Dateien dabei sein, die Sie noch brauchen.
Falls f-downadup etwas findet, sollten Sie die Dateien desinfizieren lassen. Tippen Sie nun folgendes ein, gefolgt von Enter (das einzige Leerzeichen steht nach "exe"):
f-downadup.exe --disinfect
Das lässt die infizierten Dateien entfernen. Hierfür ist oft ein anschliessender Neustart erforderlich. Führen Sie diesen durch, wenn Sie dazu aufgefordert werden. Im «C:\Windows\Temp»-Ordner finden Sie die Logfiles, die mit dem Tool erstellt wurden, falls Sie dieses noch anschauen wollen.

Die mit «f-secure» beginnenden Logfiles im Temp-Ordner können Sie danach löschen. Ebenso wie die Datei f-downadup.zip und den gleichnamigen Ordner auf dem Desktop.

Update: Microsoft bietet auf dieser Webseite ebenfalls eine ausführliche deutschsprachige Anleitung zum manuellen Entfernen des Schädlings.