Neue Schädlinge nutzen die LNK-Lücke in Windows

Während Microsoft noch an einem Sicherheits-Update arbeitet, das die in der letzten Woche bekannt gewordene LNK-Lücke in Windows stopfen soll, haben Malware-Programmierer die öffentlich verfügbaren Informationen bereits in neuen Schädlingen umgesetzt. Diese suchen nicht nach Rechnern mit Siemens-Software sondern zielen auf Jedermanns PC.

Der Antivirushersteller Eset berichtet in seinem Blog über zwei neu entdeckte Schädlinge namens "Win32/TrojanDownloader.Chymine.A" und "Win32/Autorun.VB.RP". Dabei handelt es sich letztlich um Varianten bekannter Malware, die so modifiziert worden sind, dass sie die LNK-Lücke ausnutzen, um sich möglichst weit zu verbreiten.

Nach der Infektion eines Rechners lädt Chymine.A einen Key-Logger aus dem Internet herunter und installiert ihn. Er zeichnet Tastatureingaben auf, um Passwörter auszuspähen und reicht die Daten an seinen Herrn und Meister weiter. Auch Autorun.VB.RP lädt weitere Malware aus dem Netz. Er kann im Gegensatz zu Chymine.A selbst neue LNK-Dateien erzeugen und sich so selbständig weiter verbreiten. Das Trojanische Pferd Chymine.A wird hingegen durch andere Malware verbreitet, die die LNK-Lücke nutzt.

Eset verfolgt auch die Verbreitung der Stuxnet-Malware, die als erste die LNK-Lücke genutzt hat. Die Verbreitung zeigt auffällige geografische Besonderheiten. So sind die meisten Infektionen in den USA, Iran, Russland und Indonesien zu finden - sowie auf den Färöer-Inseln. Die Verbreitung ist allerdings so gering, dass bereits relativ wenige Infektionen zu einer prominenten Platzierung in dieser Rangliste genügen können.

Um sich vor Angriffen durch Malware zu schützen, die auf die LNK-Lücke setzen, können Sie eine Fix-it-Lösung von Microsoft verwenden, bis ein Sicherheits-Update für Windows verfügbar ist. Antivirusprogramme erkennen mit aktuellen Updates zumindest einen Teil der Schädlinge sowie präparierte LNK-Dateien.