181534

Malware überschreibt Software-Updater

26.03.2010 | 14:41 Uhr |

Eine kürzlich entdeckte Schädlingsfamilie tarnt sich für den Download als legitime Software, überschreibt dann jedoch das Update-Programm von Programmen wie dem Adobe Reader. Damit werden Anwender von Sicherheits-Updates abgeschnitten.

Ein Sicherheitsunternehmen hat eine Familie von Schädlingen entdeckt, die sich mit gefälschten Dateieigenschaften tarnt. Die Trojanischen Pferde erscheinen auch bei näherem Hinsehen als vermeintliche Update-Programme legitimer Anwendungen wie Adobe Reader , Java oder Windows. Sie überschreiben jedoch die originalen Programmdateien und nehmen ihren Platz ein.

Im Blog des vietnamesischen Sicherheitsunternehmens BKIS berichtet der Malware-Forscher Nguyen Cong Cuong über einen Schädling namens "W32.Fakeupver.trojan", dessen Varianten die Dateieigenschaften populärer Software imitieren. Er tritt zum Beispiel als AdobeUpdater.exe (Adobe Reader) und jucheck.exe (Java) auf. Wer sich durch Anklicken mit der rechten Maustaste im Windows Explorer die Eigenschaften der Datei anschaut, findet erstmal nichts Verdächtiges.

Die Eigenschaften im Karteireiter "Version" entsprechen scheinbar denen des echten Update-Programms. Nur die angegebene Versionsnummer weicht unter Umständen von der der installierten Anwendung ab. Das Fehlen einer digitalen Signatur ist eine erster Hinweis, dass etwas faul ist. Eine genauere Analyse mit geeigneter Software (etwa einem Hex-Editor) offenbart, dass der Schädling in Visual Basic geschrieben ist, die Original-Software hingegen meist in C oder C++.

Wird W32.Fakeupver aufgerufen, startet der Schädling sogleich Dienste wie den DHCP-Client, den DNS-Client und Netzwerkfreigaben. Ferner öffnet er eine Hintertür ins System, über die ein Angreifer über das Internet Zugriff auf den infizierten Rechner erhält (soweit Router oder Firewall dies nicht unterbinden).

Eine Folge dieses Schädlings ist, dass die Aktualisierung der installierten Anwendung durch die enthaltene automatische Update-Funktion nicht mehr erfolgt. Anwender sind dadurch unbemerkt von Sicherheits-Updates abgeschnitten. Dadurch eröffnet sich auch für andere Online-Kriminelle in Zukunft möglicherweise ein Einfallstor für Angriffe auf nicht gestopfte Sicherheitslücken.

0 Kommentare zu diesem Artikel
181534