USB-Wurm nutzt Windows Shortcut-Schwachstelle aus

Originalartikel von JM Hipolito (Technical Communications bei Trend Micro)

Kürzlich erschienen Berichte über eine neue Art von Malware, die sich über Wechselmedien verbreitet. Die Schädlinge nutzen eine neue Schwachstelle in Shortcut-Dateien aus, die es ermöglicht, Zufallscode auf dem System des Nutzers auszuführen. Microsoft hat die Schwachstelle bestätigt und ein Security Advisory veröffentlicht. Weil die Schwachstelle in Verbindung damit steht, wie Windows die Shortcut-Icons verarbeitet, lautet eine der Empfehlungen für einen Workaround darin, die Anzeige der Icons für alle Shortcuts zu deaktivieren. Wie dies zu erreichen ist, beschreibt das Advisory.

Trend Micros Sicherheitsforscher haben ein Sample der Malware als WORM_STUXNET.A identifiziert und deren Routinen analysiert. Nachfolgend eine Zusammenfassung der Ergebnisse:

Verbreitung

Anstatt wie bisher üblich eine AUTORUN.INF-Datei sowie eine Kopie der Malware selbst auf Wechsel- und festen Speichermedien abzulegen, deponiert WORM_STUXNET.A im Speichermedium eine .LNK-Datei – eine Shortcut-Datei, die auf eine ausführbare Datei zeigt. Die .LNK-Datei nutzt die Schwachstelle aus, um eine neue Kopie des WORM_STUXNET.A auf weitere Systeme abzulegen. Trend Micro hat diese .LNK-Dateien als LNK._STUXNET.A identifiziert.

Fähigkeiten zur Tarnung

Neben diesen Eigenkopien legt der Wurm auch ein Rootkit auf dem Wechselmedium ab. Das als RTKT_STUXNET.A erkannte Kit dient dazu, die eigenen Routinen zu verbergen. Damit bleibt der Wurm von dem Nutzer unbemerkt, und er erschwert auch die Analysen der Forscher.

Fussball-Verbindungen

Der Wurm versucht zudem, eine Verbindung zu verschiedenen Websites aufzubauen, und zwar interessanterweise zu solchen, die mit Fussball zu tun haben. Der Zweck dieser Routine ist nicht ganz klar, denn die Trend Micro-Sicherheitsforscher haben keine Spuren bösartiger Aktivitäten auf diesen Sites entdecken können.

Diese neue Methode der Ablage von .LNK-Dateien stellt eine weitere Entwicklung in der Verbreitung von Würmern über Wechselmedien dar. Wir berichteten bereits im Mai über die Technik der Nutzung der AUTORUN.INF Action Key, um automatisch bösartige Dateien auszuführen.

Trotz der vielfältigen möglichen Verbreitungstechniken, die das Web liefert, geben die Cyberkriminellen den Weg über USB-Malware nicht auf. Das zeigt auch, wie effizient diese Technik ist. Diese Art der Malware ist im Security Spotlight-Artikel Understanding USB Malware im Detail beschrieben.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Art der Malware geschützt. Andere Nutzer können das kostenlose Cleanup-Tool Housecall von Trend Micro verwenden.

Ein Gedanke zu „USB-Wurm nutzt Windows Shortcut-Schwachstelle aus

  1. Pingback: Microsoft .LNK-Schwachstelle wird genutzt « project-LEV

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*