Symantec warnt vor einem neuen Trojaner, der Windows PCs absolut unbrauchbar machen kann: Der tückische Angreifer namens „Offensive“ versteckt sich in einer normalen HTML-Seite, auf die User beispielsweise durch eine E-Mail gelockt werden. Wer auf dieser Site einen Start-Button drückt, wie er beispielsweise bei Formularfeldern bekannt ist, macht sich viel unnötige Arbeit.
Sämtliche Icons verschwinden vom Desktop. Außerdem sorgt „Offensive“ dafür, dass kein einziges Programm mehr ausgeführt werden kann. Ein Herunterfahren von Windows ist ebenso unmöglich wie das System im sicheren Modus weiter zu betreiben.
Zwar hat dieser Trojaner nach jetzigem Kenntnisstand noch nicht weltweit großen Schaden verursacht, dennoch steht er aufgrund seiner potenziellen Gefährlichkeit auf den aktuellen Virenlisten weit oben.
Betroffene User haben nur wenige Möglichkeiten: Falls möglich, ist die Registry manuell zu editieren oder durch ein vorher erstelltes Backup zu ersetzen. Wer so unvorsichtig war und keine Sicherheitskopie angefertigt hat, dem bleibt laut Symantec nur ein Ausweg: Die Neuinstallation von Windows.
ZDNet bietet im Download-Bereich einige wirkungsvolle Tools zum Schutz vor Trojanern.
Ist ein PC vom Trojaner befallen, so führt dieser folgende Änderungen in der Registry durch:
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer
Values:
RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
Values:
DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesWinOldApp
Values:
NoRealMode
Disabled
Keys:
HKEY_CURRENT_USERSoftwareMicrosoft
InternetExplorerMainWindow Title
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerMainWindow Title
Values:
Window Title
Start Page
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionWinlogon
Values:
LegalNoticeCaption
LegalNoticeText
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerExtensions
{C18CB140-0BBB-11D4-8FE8-0088CC102438}
Values:
ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
Internet ExplorerMenuExthow to * japanese
Key:
HKEY_CLASSES_ROOTDriveshellhow to * japan
Keys:
HKEY_LOCAL_MACHINESoftwareCLASSES.exe
HKEY_LOCAL_MACHINESoftwareCLASSES.reg
HKEY_LOCAL_MACHINESoftwareCLASSES.htm
HKEY_LOCAL_MACHINESoftwareCLASSES.html
HKEY_LOCAL_MACHINESoftwareCLASSES.txt
HKEY_LOCAL_MACHINESoftwareCLASSES.inf
HKEY_LOCAL_MACHINESoftwareCLASSES.dll
HKEY_LOCAL_MACHINESoftwareCLASSES.ini
HKEY_LOCAL_MACHINESoftwareCLASSES.sys
HKEY_LOCAL_MACHINESoftwareCLASSES.com
HKEY_LOCAL_MACHINESoftwareCLASSES.bat
Value:
(default) is set to textfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Value:
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices
Value:
LoadPowerProfile
SchedulingAgent
Kontakt:
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…