Wurm kopiert sich selbst in Archivdateien

Originalartikel von Lenart Bermejo, Threat Response Tech Lead

Üblicherweise archivieren Nutzer ihre Dateien, indem sie sie in eine Datei zusammenpacken. Nun haben die Trend Micro-Sicherheitsforscher einen Wurm entdeckt, der Kopien von sich selbst erstellt, auch in mit einem Kennwort geschützten archivierten Dateien.

Die Experten analysierten ein Muster des Wurms (WORM_PIZZER.A), der sich über eine bestimmte WinRAR-Befehlszeile verbreitet. Wird er ausgeführt, so erzeugt er eine Kopie seiner selbst in archivierten Dateien, speziell in .den ZIP-, .RAR- und .RAR FX-Formaten. Der Schädling sammelt keine Kennwörter aus den Archivdateien. Über besagte Befehlszeile können Nutzer Dateien einem Archiv hinzufügen, wenn auf ihrem System WinRAR läuft. Auch der Schädling nutzt die Befehlszeile, um seine eigenen Kopien in diese Dateien einzufügen.


Abbildung 1. WinRAR-Befehlszeile

Der Test ergab, dass der Wurm von einer bestimmten Seite von WORM_SWYSINN.SM heruntergeladen wurde.

Diese Technik erinnert an WORM_PROLACO-Varianten, die 2010 im Umlauf waren und bestimmte .EXE-Dateien zusammen mit einer Kopie ihrer selbst archivierten. Das Interessante an WORM_PIZZER.A ist jedoch dessen schlaue Art, sich selbst in archivierten Dateien zu kopieren, sogar wenn diese durch Kennwörter geschützt sind. Nutzer, die diese archivierten Dateien extrahieren, merken gar nicht, dass diese einen Wurm enthalten, so dass die Schadsoftware in Ruhe mit den anderen Dateien laufen kann.


Abbildung 2. WORM_PIZZER.A-Kopie (bot.exe) in einer archivierten Datei

Trend Micro erkennt und löscht WORM_PIZZER.A. Auch der Zugriff auf die Seite mit der erwähnten Schadsoftware wird blockiert.

Es zeigt sich, dass die erste Jahreshälfte 2013 von wieder aufgelegten Bedrohungen wie ZBOT, CARBERP und GAMARGUE dominiert wird, die allerdings neue Techniken einsetzen, um sich besser vor Entdeckung zu schützen. Auch WORM_PIZZER.A ist da nicht anders. Die Archivdateien, von denen viele nur dürftig geschützt sind, bieten den perfekten Schutz für die Schadsoftware, um sich ungestört in einem infizierten System ausbreiten zu können.

Deshalb sollten Nutzer zu ihrem eigenen Schutz die bekannten Sicherheitsvorsichtsmaßnahmen beachten, so etwas unbekannte Seiten nicht aufrufen und keine Dateien aus nicht verfizierten Nachrichten herunterladen.

 Zusätzliche Informationen von Dexter To and Joseph Jiongco, Threat Researchers

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*