Aus aktuellem Anlass möchten wir heute nochmals Informationen zum Wurm Conficker bzw. Downadup bekanntgeben. Scheinbar ist dieser Wurm immer noch sehr verbreitet und bereitet vielen Anwendern Probleme bei der Beseitigung.

Der Wurm greift vorrangig Windows-Systema an ab Windows Version 95 und versucht sich über vorhandene Netzwerkverbindungen oder auch USB-Sticks zu verbreiten. Microsoft hat dieses bereits im Oktober 2008 erkannt und ein Patch (MS06-067 – Critical) für alle Betriebssysteme veröffentlicht. Für die Übertragung verwendet der Wurm integrierte Wörterbücher und versucht auf diese Art und Weise Zugriff auf bestimmte Useraccounts zu bekommen. Dadurch kann es u.a. auch zu Sperrungen von Accounts in Netzwerken kommen.

Wenn der Wurm z.B. USB-Sticks findet, so kopiert er sich automatisch auf diese und installiert sich in die Autostartroutine des Sticks.  Sollte sich der Wurm in Ihr System einnisten bzw. schon eingenistet haben, so versucht er in regelmäßigen Abständen von bestimmten Domains Updates oder weitere Schadsoftware herunterzuladen. Desweiteren sperrt er den Zugang zu über 50 Domains, sodass u.a. auch keine Installation von Windows Updates mehr möglich ist.

Der Wurm wird von den verschiedenen Antiviren-Firmen wie folgt benannt:
Trend – WORM_DOWNAD.AD
Symantec/Norton – W32.Downadup
Bitdefender – Win32.Worm.Downadup.Gen
Computer Associates – Win32/Conficker.B
Eset – a variant of Win32/Conficker.AE worm
F-Secure – Worm:W32/Downadup.AL, Worm:W32/Downadup.gen!A
Grisoft – I-Worm/Generic.CJY
Kaspersky – Net-Worm.Win32.Kido.fw
Panda – Trj/Downloader.MDW
Sophos – W32/Confick-D, Mal/Conficker-A

Scheinbar ist der Wurm aktiver als bisher angenommen und aus diesem Grund möchten wir eine kleine Hilfestellung geben, wie Sie den Wurm recht gut entfernen können.

Bei unseren Versuchen den Wurm zu entfernen mussten wir feststellen, dass sich der Wurm sehr schwer entfernen läßt. Alle Versuche mit gängigen Antivirenscannern, ob TrendMicro oder Avira, schlugen fehl. Der Wurm wurde zwar erkannt, eine Löschung bzw. der Verlagerung in die Quarantäne war nicht möglich.

Vor den Säuberungsaktionen sollte auf jeden Fall eine Datensicherung durchgeführt werden. Ebenfalls ist es ratsam die befallende Hardware sofort vom Netzwerk zu entfernen, damit keine weitere Verbreitung stattfinden kann.

Erfolg hatten wir erst mit einem Hilfsprogramm der Firma Symantec, welches wir auf folgender Seite gefunden haben.

W32.Downadup Removal Tool

Wichtig ist, dass vor der Installation und dem Start des Tools der Windows-Patch (MS06-067 – Critical) installiert wurde. Andernfalls wird die komplette Entfernung des Wurms nicht erfolgreich sein. Wir haben aus während des Laufes des Programms unseren installieren TrendMicro OfficeScan Client deaktivieren müssen, damit die Entfernung funktionierte.

Nach der erfolgreichen Entfernung ist ein Neustart des PC´s notwendig, danach sollte der PC sauber sein.

Wir würden uns freuen wenn Ihr uns Eure Erfahrungen mit dem Wurm schreiben würdet.