Channel Header
184291

Autorun per LNK-Datei

16.07.2010 | 15:29 Uhr | Frank Ziemann

Eigenschaften des Rootkit-Treibers
Vergrößern Eigenschaften des Rootkit-Treibers
© 2014

Ob die Wurm-artige Verbreitung mit speziellen LNK-Dateien eine eine bislang unbekannte Sicherheitslücke in Windows ausnutzt, wird zurzeit noch untersucht. Fest steht hingegen, dass der Trick auch auf einem aktuellen Windows 7 mit allen Updates funktioniert. Damit es klappt, muss das Inhaltsverzeichnis eines infizierten USB-Sticks lediglich mit einem Dateimanager angezeigt werden, der die Dateisymbole (Icons) ausliest - etwa dem Windows Explorer.

Die LNK-Dateien (eigentlich zum Anlegen von Verknüpfungen gedacht) werden bei der Infektion eines USB-Sticks erstellt und enthalten die ID des mobilen Speichergeräts. Sie starten eine ebenfalls auf den USB-Stick kopierte TMP-Datei, eine umbenannte EXE-Datei. Diese infiziert mit Hilfe einer zweiten TMP-Datei den Rechner und installiert das Rootkit. Das Rootkit verbirgt die genannten Dateien auf dem USB-Stick, sodass sie der Anwender nie zu Gesicht bekommt

Völlig ungeklärt ist derzeit noch die Frage, wie die installierten Rootkit-Treiber (mrxcls.sys, mrxnet.sys) mit einem gültigen Zertifikat des Chip-Herstellers Realtek Semiconductors digital signiert werden konnten. Inzwischen ist dieses Zertifikat zwar abgelaufen, Windows sieht es jedoch weiterhin als gültig an, ebenso die damit erstellten Signaturen. Die Dateieigenschaften der Treiber weisen sie als Windows-Komponenten aus dem Hause Microsoft aus, die zu Windows XP (Windows NT 5.1.2600.2902) gehören.

Weder Realtek noch Microsoft haben sich bislang zu diesen merkwürdigen Details geäußert. So bleiben viele Fragen zunächst offen, was Raum für allerlei Spekulationen lässt. Auch die Herkunft des Schädlings ist unklar. Alex Gostev, Malware-Forscher bei Kaspersky Lab, hat bislang vor allem infizierte Systeme in Indien, Indonesien und im Iran ausgemacht , jeweils mehr als 5000, hingegen nur 150 in Russland und fünf in China. In Europa scheint er demnach bislang noch nicht verbreitet zu sein.

Die meisten Antivirushersteller haben in den letzten Tagen Signaturen und weitere Methoden zur Erkennung des Schädlings per Update ausgeliefert. Unabhängig davon sind USB-Sticks besonders in Unternehmen zu einem noch größeren Risikofaktor geworden, als sie es ohnehin schon waren. Vor allen nach Geschäftsreisen in Asien sollten USB-Sticks vorsichtshalber als infiziert betrachtet und behandelt werden.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
184291