ZeuS/ZBOT und SALITY nutzen die Shortcut-Schwachstelle

Originalartikel von Jasper Manuel (Threat Response Engineer bei Trend Micro), Julius Dizon (Escalation Engineers bei Trend Micro), Marvin Cruz (Escalation Engineers bei Trend Micro)

Wie schon letzte Woche berichtet haben die Exploits der Windows Shortcut-Schwachstelle zugenommen. Jetzt wird sie auch dafür ausgenützt, um ZBOT-Varianten über bösartige Anhänge in Spam-Nachrichten zu verbreiten. Die Messages, die von Trend Micro-Produkten blockiert werden, führen als Betreff Microsoft Windows Security Advisory an und umfassen folgenden Text:

Sie geben vor, von Microsoft zu kommen, und fordern die Nutzer auf, das angehängte vermeintliche Update anzuwenden, um sich vor der Gefahr zu schützen. Die Nachricht umfasst sogar ein Kennwort für die geschützte ZIP-Datei sowie Anleitungen für die Installation des angeblichen Sicherheits-Update. Zur Erinnerung: Microsoft hat noch keinen Patch für besagte Schwachstelle veröffentlicht, sondern lediglich ein so genanntes „Fix-Tool“ für das Deaktivieren von .LNK und .PIF!

Unser Team fand heraus, dass das angehängte Archiv eine bösartige .LNK-Datei enthält, die Trend Micro als LNK_STUXNET.SM identifiziert hat. Auch ist eine bösartige .DLL-Datei darin, die Trend Micro als TROJ_ZBOT.BXW identifiziert.

Wird der Exploit-Code im Shortcut angestoßen, so führt er die Malware-Komponente aus, die dann ihrerseits den Hauptschädling TROJ_ZBOT.BXW herunterlädt und ausführt. Es handelt sich um eine ZBOT 2.0 Variante, die wir bereits früher in diesem Jahr entdeckt hatten.

SALITY Dateiinfektoren werden nun auch für diese Schwachstelle eingesetzt, wie PE_SALITY.LNK-O zeigt:

Hier noch ein Vergleich der bekanntesten Methoden von USB-Malware, um sich  zu verbreiten:

AUTORUN.INF LNK Vulnerability
Wechselmedien Alle Platten (shared, removable, optical etc.)
Zieldatei sollte.EXE, .BAT, .SCR, or .CMD Endung haben Jeder Dateiname, wenn es eine .DLL-Datei ist

Es sollte jedem klar sein, dass sich Malware über die LNK-Schwachstelle einfacher verbreiten kann, als diejenige, die die AUTORUN.INF-Datei nutzt, und man kann davon ausgehen, dass noch mehr Malware-Familien dies tun werden!

Ein Gedanke zu „ZeuS/ZBOT und SALITY nutzen die Shortcut-Schwachstelle

  1. Pingback: Microsoft .LNK-Schwachstelle wird genutzt « project-LEV

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*