1903002

VBScript-Wurm öffnet Hintertür ins System

13.02.2014 | 15:51 Uhr |

Der in VBScript geschriebene Wurm VBS/Jenxcus verbreitet sich über Wechselmedien wie USB-Sticks und ermöglicht Fernzugriffe. Das neueste "Windows-Tool zum Entfernen bösartiger Software" nimmt den Schädling nun aufs Korn.

Bei jedem regulären Patch Day aktualisiert Microsoft seinen Schädlingsbekämpfer mit dem sperrigen Namen "Windows-Tool zum Entfernen bösartiger Software". Im Gegensatz zu Security Essentials und Windows Defender ist das MSRT (Malicious Software Removal Tool) kein ständig aktiver Wächter, sondern eine monatliche Wurmkur. Mit jeder neuen Version, aktuell ist 5.9 , kommt eine weitere Schädlingsfamilie hinzu, die es zu beseitigen gilt – manchmal auch mehrere.

Im Februar ist der Wurm VBS/Jenxcus neu im Visier des MSRT. Er ist in VBScript geschrieben und passt daher, wenn auch wohl eher zufällig, zu den Sicherheits-Updates, die Microsoft beim Patch Day am 11. Februar zusammen mit dem MSRT 5.9 veröffentlicht hat. VBS/Jenxcus verbreitet sich über beschreibbare Wechselmedien wie USB-Sticks. Seine Schadensfunktion (Payload) öffnet eine Hintertür in den befallenen Rechner, die es einem Angreifer ermöglicht den Rechner aus der Ferne zu kontrollieren.

Der Wurm wird außerdem als Beigabe zu anderer Software verteilt. Microsoft berichtet im Malware Protection Center Blog , dass es solche verseuchten Software-Bundles sowohl auf Websites als auch in Torrent-Netzen gefunden habe. So werden potenzielle Opfer etwa via Social Engineering innerhalb sozialer Netzwerke wie Facebook mit einem vermeintlichen Video geködert. Es residiert auf einem Youtube-Imitat. Wer das Video sehen will, soll ein vorgebliches Update für den Flash Player installieren – eine altbekannte Masche, die offenbar noch immer funktioniert.

Findet Jenxcus auf dem infizierten Rechner einen angeschlossenen USB-Stick, legt er darauf eine Verknüpfung an. Diese trägt den selben Namen wie eine der Dateien des Anwenders, die auf dem Speichermedium vorhanden sind. Die Verknüpfung zeigt auf eine Kopie des Wurms, während der Benutzer denken soll, es handele sich um eine seiner Dateien. Diese wird auch tatsächlich geöffnet, doch im Hintergrund wird unbemerkt auch der Wurm gestartet.

Der Schädling nimmt Verbindung zu einem Server auf, dessen Adresse meist im Wurm-Code eingetragen ist. Oft wird die Domain no-ip.org zur Tarnung benutzt, die zu einem DynDNS-Dienst gehört. Der Server hält Anweisungen für den Schädling bereit, die dieser dann ausführt.

Die Zahl der festgestellten Jenxcus-Infektionen hat sichvon 600.000 im Oktober bis November 2013 fast verdoppelt, um nach einem Absinken im Dezember im Januar wieder anzusteigen. Eine runde Million verseuchter Rechner sind ein guter Grund, um einen Schädling und seine Varianten auf die MSRT-Liste zu setzen.

0 Kommentare zu diesem Artikel
1903002