Zero-Day-Exploit für Schwachstelle in Windows XP und Server 2003

Trend Micro warnt vor PDF-Trojaner, Backdoor inklusive

| Redakteur: Stephan Augsten

Trend Micro warnt vor einem aktuellen Trojaner, der eine Hintertür in Windows XP und Server 2003 öffnet.
Trend Micro warnt vor einem aktuellen Trojaner, der eine Hintertür in Windows XP und Server 2003 öffnet. (Bild: © ThorstenSchmitt - Fotolia)

Erst seit ein paar Tagen ist eine Sicherheitslücke in Windows XP und Server 2003 bekannt, schon wird sie aktiv ausgenutzt. Über infizierte PDF-Dokumente gelangt ein Trojaner ins System, der anschließend eine Hintertür öffnet. Die Backdoor lässt sich allerdings manuell wieder entfernen. Wie das geht, beschreibt der Antivirus-Hersteller Trend Micro.

Im Rahmen eines zielgerichteten Angriffs wurde offenbar ein Zero-Day-Exploit für Windows XP und Server 2003 verwendet, wie Trend Micro herausgefunden hat. Ausgangspunkt bildet ein Trojaner, der über eine seit Mai bekannte Sicherheitslücke im Adobe Reader (CVE-2013-3346) das System befällt.

Über die Windows-Schwachstelle (CVE-2013-5065) lädt der Trojaner anschließend einen Hintertür-Schädling auf das infizierte System. Ein Eintrag in der Systemregistrierung stellt sicher, dass der Schadcode bei jedem Systemstart ausgeführt wird. Außerdem wird bösartiger Code in die Prozesse von Windows Explorer und Browsern wie Internet Explorer, Google Chrome, Firefox oder auch Opera injiziert.

Der Schadcode kann unter anderem Programme herunterladen und installieren, Dateien löschen oder gar Benutzerkonten mit Administratorrechten einrichten. Bevor der Schädling mit seiner Arbeit beginnt, prüft er allerdings, ob bestimmte Prozesse zur Netzwerküberwachung laufen. Auf diese Weise wollen die Malware-Autoren verhindern, dass die Schadroutinen entdeckt werden.

Datendiebstahl steht vorerst im Vordergrund

Im Rahmen der Analysen hat Trend Micro herausgefunden, dass die Malware verschiedene Informationen ausspäht und sie an einen Command- and Control-Server übermittelt. Von Interesse sind offenbar Daten wie Benutzerkonten und -namen, Informationen über das System, die Festplatte sowie verwendete Ordner, installierte Windows-Updates, laufende Prozesse oder auch die IPv4-TCP-Verbindungstabellen.

Udo Schneider, Sicherheitsexperte und Pressesprecher von Trend Micro, warnt eindringlich: „Aufgrund seiner Eigenschaften eignet sich der Exploit ideal für gezielte Angriffe auf Unternehmen. Dies umso mehr, als dort die älteren Windows-Versionen noch zahlreich vertreten sind und auf absehbare Zeit auch noch bleiben werden.“

Trend Micro hat einen kleinen Leitfaden entwickelt, wie Administratoren und erfahrene Windows-Nutzer den Schädling in fünf Schritten aufspüren und entfernen können. Der Antivirus-Hersteller betont aber auch, dass die Schritte lediglich eine unverbindliche Empfehlung darstellen, Trend Micro haftet für die Empfehlung nicht. Grundsätzlich kann es passieren, dass eine Malware sich nicht restlos entfernen lässt.

1. Um das System vollständig scannen zu können, muss die Funktion „Systemwiederherstellung“ deaktiviert werden.

2. Anschließend sollte mittels einer geeigneten Sicherheitslösung der Trojaner TROJ_PIDIEF.GUD entfernt werden, der für das Herunterladen der Backdoor verantwortlich ist.

3. Nun muss das System im abgesicherten Modus neu gestartet werden.

4. Jetzt gilt es, einen Eintrag in der Systemregistrierung von Windows zu entfernen. Mit dem Befehl „regedit“ den Registrierungseditor starten und zum Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon navigieren. Hier den Unterschlüssel Shell = "explorer.exe, {Malware Path and filename}.exe" löschen.

5. Anschließend das System im normalen Modus neu starten. Nun lässt sich mit einer Sicherheitssoftware nach dem Hintertürschädling fahnden. Die Sicherheitslösungen von Trend Micro erkennen ihn als BKDR_TAVDIG.GUD und sorgen dafür, dass er entweder in die Quarantäne verschoben oder vom System gelöscht wird.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42441323 / Malware)