Suchen

Schadcode auf der Friedensnobelpreis-Website Trojaner Belmoo nutzt Schwachstelle in Mozilla Firefox 3.5 und 3.6

| Redakteur: Stephan Augsten

Der Antivirus-Spezialist Norman warnt vor dem Trojaner Belmoo, der am Dienstagmorgen auf der Webseite des Friedensnobelpreises gefunden wurde. Für seine Drive-by-Infektionen von Anwender-Rechnern nutzt der Schadcode eine Sicherheitslücke im Webbrowser Firefox. Auch andere Webseiten könnten von dem Trojaner befallen sein.

Firmen zum Thema

Zielscheibe: Eine Schwachstelle im Firefox wird derzeit zur Verbreitung des Belmoo-Trojaners genutzt.
Zielscheibe: Eine Schwachstelle im Firefox wird derzeit zur Verbreitung des Belmoo-Trojaners genutzt.
( Archiv: Vogel Business Media )

Am frühen Dienstagmorgen hat sich über die offizielle Website des Friedensnobelpreises der Trojaner Belmoo verbreitet. Allzu vorsichtig sind die Autoren des Schadcodes nicht gewesen: Die Variante Belmoo.A wurde weder durch Kompression noch durch Verschlüsselung vor der Antiviren-Erkennung geschützt.

Bislang nutzt der Trojaner für seine Verbreitung ausschließlich eine Schwachstelle in den Firefox-Versionen 3.5 und 3.6. Ein Sicherheitsupdate wird derzeit verteilt. Als Workaround hatte Mozilla empfohlen, Javascript zu deaktivieren. Wer den manuellen Weg nicht kennt, der kann auch das Firefox-Plug-in NoScript nutzen-

Belmoo.A versucht sich als ausführbare Datei Symantec.exe im Windows-Temp-Verzeichnis festzusetzen. Die Datei lässt sich in ihrer aktuellen Variante also relativ einfach identifizieren. Hat der Trojaner einen PC erfolgreich infiziert, dann legt er in der Registry unter

HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run

den folgenden Wert an:

„Microsoft Windows Update“=“[WINDIR]\temp\symantec.exe“

Durch die beiden Autostart-Einträge soll Belmoo beim Booten des befallenen Systems mitstarten. Der Trojaner versucht, eine Verbindung zu zwei IP-Adressen herzustellen, die auf Server in Taiwan hinweisen. Bleiben die Verbindungsversuche erfolglos, dann sendet der Trojaner in unregelmäßigen Abständen weitere Abfragen.

Laut den Analyseergebnissen des Antivirus-Spezialisten Norman wurde Belmoo erst am vergangenen Sonntag, 24. Oktober, programmiert. Wie genau der Trojaner auf die Friedensnobelpreis-Website gelangen konnte, ist noch nicht geklärt.

Aktuelle Antiviren-Programme sollten den Trojaner als solchen erkennen und eine Infektion verhindern. Für den Fall, dass ein System infiziert ist, bietet Norman mit dem Malware Cleaner ein kostenloses Tool zur vollständigen Bereinigung an.

(ID:2048005)