info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
TREND MICRO Deutschland GmbH |

Aktuelle Windows-Sicherheitslücke: Exploit eignet sich für gezielte Angriffe

Bewerten Sie hier diesen Artikel:
11 Bewertungen (Durchschnitt: 4.5)


Trend Micro entdeckt Hintertürschädling im Rahmen einer Angriffsanalyse und empfiehlt fünf Schritte zum Säubern der infizierten Rechner


Erst ein paar Tage ist die Sicherheitslücke in Windows XP und Windows Server 2003 bekannt - doch ein darauf abgestimmter Exploit macht wohl schon länger die Runde. Er wurde im Rahmen eines zielgerichteten Angriffs genutzt, wie Analysen von Trend Micro...

Hallbergmoos, 03.12.2013 - Erst ein paar Tage ist die Sicherheitslücke in Windows XP und Windows Server 2003 bekannt - doch ein darauf abgestimmter Exploit macht wohl schon länger die Runde. Er wurde im Rahmen eines zielgerichteten Angriffs genutzt, wie Analysen von Trend Micro ergeben haben. Das Schadenspotenzial des Exploits ist hoch, sein Datenhunger ebenso. Seine gefährlichste Komponente ist ein Hintertürschädling, der sich jedoch von Systemadministratoren und sehr erfahrenen Windows-Nutzern in fünf Schritten aufspüren und beseitigen lässt.

Der Angriff beginnt mit einer bösartigen PDF-Datei, ein Trojaner, der eine im Mai dieses Jahres veröffentlichte Sicherheitslücke "CVE-2013-3346" in Adobe ausnutzt. Einmal installiert, lädt der Trojaner einen Hintertürschädling auf das infizierte System. Dabei nutzt er eine erst vor kurzem bekannt gewordene Sicherheitslücke "CVE-2013-5065" in den Windows-Versionen XP und Server 2003 aus.

Der Schädling erstellt einen Eintrag in der Systemregistrierung, der dafür sorgt, dass er bei jedem Systemstart ausgeführt wird. Außerdem schleust er bösartigen Code in die Prozesse für den Windows- und Internet Explorer sowie die Browser Chrome, Firefox und Opera ein. Bevor er mit seinen schädlichen Aktionen beginnt, prüft er, ob bestimmte Prozesse zur Netzwerküberwachung laufen. Ist dies der Fall, führt er seine Routinen nicht aus, um der Entdeckung zu entgehen.

Falls er sich unentdeckt glaubt, kann der Schädling verschiedene Aktionen wie das Herunterladen und Installieren von Programmen, das Löschen von Dateien und das Einrichten von Benutzerkonten mit Administratorrechten starten. Außerdem spioniert er auf dem infizierten System die unterschiedlichsten Informationen aus und sendet sie über einen Befehls- und Kontrollserver an die kriminellen Hintermänner im Web. Diese interessieren sich offenbar für Daten wie die Benutzerkonten und -namen, die Daten zum Rechner, der Festplatte und den verwendeten Ordnern, die installierten Windows-Updates, die laufenden Prozesse oder die IPv4-TCP-Verbindungstabellen.

"Aufgrund seiner Eigenschaften eignet sich der Exploit ideal für gezielte Angriffe auf Unternehmen. Dies umso mehr, als dort die älteren Windows-Versionen noch zahlreich vertreten sind und auf absehbare Zeit auch noch bleiben werden", erklärt Udo Schneider, Sicherheitsexperte und Pressesprecher von Trend Micro. "Da es viele nachvollziehbare und gerechtfertigte Gründe gibt, mit einer Migration zu warten, sind die Unternehmen gut beraten, ihre Patchprozesse und -methoden zu überdenken. Insbesondere sollten sie die Möglichkeit des 'virtuellen Patchens' oder besser Abschirmens von Sicherheitslücken in Betracht ziehen."

Fünf Schritte, um den Schädling zu beseitigen

Windows-Administratoren und sehr erfahrene Nutzer können den beschriebenen Schädling in fünf Schritten aufspüren und entfernen:

1. Um das System vollständig scannen zu können, muss die Funktion "Systemwiederherstellung" deaktiviert werden.

2. Anschließend sollte mittels einer geeigneten Sicherheitslösung der Trojaner TROJ_PIDIEF.GUD entfernt werden, der für das Herunterladen des Hintertürschädlings verantwortlich ist.

3. Nun muss das System im abgesicherten Modus neu gestartet werden.

4. Jetzt gilt es, folgenden Eintrag in der Systemregistrierung von Windows zu entfernen:

o In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = "explorer.exe, {Malware Path and filename}.exe"

5. Danach kann das System im normalen Modus neu gestartet werden. Nun lässt sich mit einer Sicherheitssoftware nach dem Hintertürschädling fahnden. Die Sicherheitslösungen von Trend Micro erkennen ihn als BKDR_TAVDIG.GUD und sorgen dafür, dass er entweder in die Quarantäne verschoben oder vom System gelöscht wird.

Diese Schritte sind lediglich eine unverbindliche Empfehlung von Trend Micro zum generellen Vorgehen, um infizierte Rechner von dem beschriebenen Trojaner und Hintertürschädling zu säubern. Trend Micro haftet für diese Empfehlung nicht. Diese Empfehlung ersetzt keine individuelle Analyse und individuelles Vorgehen zur Säuberung infizierter Rechner.

Weitere Informationen

Informationen zu der oben beschriebenen Bedrohung sind im deutschsprachigen Trend Micro-Blog erhältlich.


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 565 Wörter, 5281 Zeichen. Als Spam melden

Unternehmensprofil: TREND MICRO Deutschland GmbH


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von TREND MICRO Deutschland GmbH lesen:

TREND MICRO Deutschland GmbH | 06.12.2016

Die schlechten Vorsätze fürs neue Jahr: Was Cyberkriminelle 2017 vorhaben

Hallbergmoos, 06.12.2016 - Nachdem 2016 als das Jahr der Online-Erpressung in die Geschichte eingehen wird, wird sich Ransomware im kommenden Jahr in mehrere Richtungen weiterentwickeln. Zu den neuen Varianten zählt „Business Email Compromise“, ...
TREND MICRO Deutschland GmbH | 22.11.2016

IT-Entscheider und Ransomware: Fast ein Viertel unterschätzt noch immer die Gefahr

Hallbergmoos, 22.11.2016 - Fast ein Viertel (23 Prozent) der IT-Entscheider in deutschen Unternehmen mit mehr als 1.000 Mitarbeitern unterschätzt noch immer die Gefahr, die von Erpressersoftware ausgeht. Das hat eine vom japanischen IT-Sicherheitsan...
TREND MICRO Deutschland GmbH | 08.11.2016

Deutschland im Visier: Neues Exploit Kit verbreitet Erpressersoftware

Hallbergmoos, 08.11.2016 - Der japanische IT-Sicherheitsanbieter Trend Micro warnt vor einem neuen Exploit Kit, das die Erpressersoftware „Locky“ verbreitet: „Bizarro Sundown“. Mit fast zehn Prozent der Opfer rangiert Deutschland im internati...