Forum Bauen und Umwelt - Windows-Wurmkur – Wie man Conficker wieder los wird

Windows-Wurmkur – Wie man Conficker wieder los wird (Antwort)

Martin Vogel — Tue, 10 Mar 2009 09:52:56 +0000

Der Sicherheitssoftwareanbieter Symantec hat ein kleines Windows-Programm veröffentlicht, das durch Microsoft Windows gefährdete Rechner auf Befall durch den beliebten Conficker-Wurm (alias Downadup) untersucht und mit dem Wurm zusammenhängende Dateien vom Rechner entfernen kann.

Infoseite von Symantec

Mit einem aktuellen Virenscanner lässt sich die Gefährlichkeit von Windows etwas abmindern. Hochschulmitglieder können das Programm Sophos Antivirus kostenlos beziehen: [Link veraltet, entfernt]

Wer nicht gerade Spezialsoftware einsetzt, die nur unter Microsoft Windows läuft, ist herzlich eingeladen, über den Wechsel des Betriebssystems nachzudenken. Mit Mac OS X oder einer aktuellen Linux-Distribution kann die Arbeit am Computer unter Umständen wesentlich sorgenfreier sein.
Momentan ist Ubuntu Linux sehr populär: http://wiki.ubuntuusers.de/Einsteiger

Das elfte Gebot für Microsoft Windows: "Du sollst Deinen Administrator ehren" (Antwort)

Martin Vogel — Wed, 25 Feb 2009 08:24:21 +0000

Es kommt noch doller: In der Windows-Registrierdatenbank gibt es eigentlich einen Registrierungsschlüssel namens NoDriveTypeAutoRun. Setzt man den auf 255, führt Windows laut offizieller Microsoft-Dokumentation keine in der Datei Autorun.inf aufgeführten Programme aus. Tatsächlich kümmert sich Windows aber unter Umständen einen feuchten Kehricht um die für die "lokale Maschine" eingestellten Werte und führt je nach gerade angemeldetem Benutzer doch einige Programme aus. Erst, wenn man das Gebot "Du sollst die Wünsche Deines Administrators respektieren" in die Registry einträgt, zickt Windows nicht mehr aufmüpfig herum.

Wir starten als Administrator den Registrierungseditor ([Windowstaste+R] Regedit [Enter]), gehen zum Registryzweig HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer, setzen den Schlüssel "NoDriveTypeAutoRun" auf den Wert 255 (oder 0xFF) und tragen das elfte Gebot ein: Dazu wird ein neuer Schlüssel vom Typ DWORD angelegt, der den Namen HonorAutorunSetting bekommt und dessen Wert auf "1" zu setzen ist. Neustart, fertig.

Fortan werden alle unter "HKEY_CURRENT_USER" eingetragenen Ausführungserlaubniseinstellungen ignoriert.

Quelle: Heise-Forum

Virenschützer schätzt Conficker-Durchseuchungsgrad deutscher Windows-PCs auf sieben Prozent (Antwort)

Martin Vogel — Thu, 22 Jan 2009 16:12:20 +0000

Virenschutzanbieter Panda veröffentlichte heute eine Pressemeldung, nach der rund 7% aller deutschen Windows-PCs bereits mit dem Conficker-Wurm oder ähnlichen Schädlingen befallen sind.

Weltweit bewegt sich die Zahl der befallenen Rechner wohl aktuell deutlich im mehrstelligen Millionenbereich. Solange Microsoft Windows läuft und eine aktive Internetanbindung existiert, warten diese Rechner darauf, Befehle von außen entgegenzunehmen. Vorstellbar wären Spamwellen ungeahnten Ausmaßes, massive DoS-Angriffe auf Internetserver, die Lahmlegung weiter Teile der globalen Rechnerkommunikation oder die Zusammenschaltung der befallenen Rechner zu einem Supercomputer zum Knacken von Verschlüsselungen.

Anwender der verseuchten Windows-PCs haben zu befürchten, dass ihre Kontodaten ausgespäht und ihre privaten Dateien veröffentlicht, gelöscht, manipuliert oder extern ausgewertet werden.

"Korrekte Erzwingung der Deaktivierung des Autorun-Registrierungsschlüssels in Windows" - Realsatire pur (Antwort)

Martin Vogel — Thu, 22 Jan 2009 13:55:27 +0000

Heise hat jetzt auch über die falschen Tipps von Microsoft berichtet und weist auf eine Microsoft-Webseite hin, die schon länger eine Lösung des gefährlichen Sicherheitsproblems anbieten soll. Ich habe sie mir mal angesehen und finde das Vorgehen dort im Vergleich zur im Vorposting aufgeführten vierzeiligen US-CERT-Lösung lächerlich kompliziert. Kann vielleicht irgendjemand aus dem Gewirr von Gruppenrichtlinieneinstellungen, Registrierungsschlüsselmodifikationen und Betriebssystemaktualisierungslisten eine praxistaugliche Anleitung ableiten?

Ministerium für Innere Sicherheit kritisiert Microsofts Wurmschutztipps

Martin Vogel — Thu, 22 Jan 2009 10:54:22 +0000

Das US Department of Homeland Security (oft als "Heimatschutzministerium" verballhornt) beklagt in einem detaillierten Artikel, dass Microsofts Ratschläge, die bewirken sollen, dass Microsoft Windows Schadsoftware auf USB-Sticks nicht ungefragt ausführt, nur halbherzig sind und beispielsweise nicht verhindern, dass die aktuellen Würmer wie Conficker, Kido, Downadup oder wie sie gerade heißen, durch simples Doppelklicken des Laufwerkssymbols heimlich ausgeführt werden.

So ist's richtig:

Um AutoRun, das automatische Ausführen von Software eines mobilen Datenträgers, wirksam auszuschalten, muss folgender Wert in die Registrierungsdatenbank aufgenommen werden:

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"

Sie können dazu beispielsweise die oberen vier Zeilen kopieren, den Windows-Editor starten und sie dort einfügen und als Datei "NoAutoRun.REG" speichern. Nach Doppelklicken der gespeicherten Datei wird der Wert – nach Rückfrage – in die Registrierungsdatenbank eingetragen. Sie können aber auch die folgende ZIP-Datei herunterladen und die darin enthaltene NoAutoRun.REG-Datei doppelklicken:

NoAutoRun.ZIP

Im Registrierungseditor lässt sich der Erfolg der Maßnahme kontrollieren:
Anschließend sollte Windows, wie gewohnt, einmal neugestartet werden.