Eine zehn Monate alte Lücke in Microsofts (Börse Frankfurt: MSF) Version der Java Virtual Machine nutzt der Trojaner „Offensive „, der seit vergangener Woche sein Unwesen treibt. Der tückische Angreifer macht die Benutzung von Windows unmöglich.
Er versteckt sich in Websiten oder HTML-Dateien, die per E-Mail versandt werden (ZDNet berichtete). „Bei befallenen Rechner gehen keinerlei Daten verloren, allerdings ist der Computer zunächst völlig unbrauchbar“, erlärte der Virenspezialist Craig Schmugar von Network Associates.
Wer die Website besucht oder die angehängte HTML-Datei öffnet, startet automatisch ein Javasript-Programm, dass die besagte Lücke nützt. Betroffen sind alle Versionen von Windows, auf denen der Internet-Explorer ab Version 3.0 bis 5.0 Service Pack 1 läuft.
Insgesamt werden rund 50 Einträge in der Registry geändert. Die Folge: Alle Icons verschwinden vom Desktop, kein Programm kann mehr gestartet werden, das Herunterfahren von Windows ist ebenfalls nicht möglich.
Das Programm gilt zwar als äußerst gefährlich, allerdings ist es noch nicht weit verbreitet. Das liegt unter anderem daran, dass es sich im Gegensatz zu zahlreichen Viren wie ILOVEYOU nicht selbst weiterverbreitet, sondern manuell verschickt werden muss.
Laut Symantec hätten sich in Japan eine Handvoll betroffener User gemeldet. „Es könnten noch viel mehr sein, allerdings wissen wir darüber natürlich nichts, weil die Opfer keine Mails mehr senden können“, so Symantec-Entwickler Motoaki Yamamura.
Wer es schafft, den Rechner trotz Infektion neu zu starten, wird mit einer gegen Japan gerichteten Beschimpfung begrüßt: „If you have any trouble, please email findlu@21cn.com“ lautet zunächst eine Einladung, danach erscheint eine Dialogbox, dass dieser Hinweis nicht für Japaner, Hunde und Schweine gelte. 21cn.com ist eine chinesische Website, der Adminstrator konnte jedoch per E-Mail nicht erreicht werden.
Dass sich der Trojaner sehr weit verbreitet, gilt unter anderem deshalb als unwahrscheinlich, weil Microsoft kurz nach Bekanntwerden der Lücke vor zehn Monaten ein Patch veröffentlicht hatte. Außerdem sind Surfer sicher, die Active-X deaktiviert haben.
ZDNet bietet im Download-Bereich einige wirkungsvolle Tools zum Schutz vor Trojanern.
Ist ein PC vom Trojaner befallen, so führt dieser folgende Änderungen in der Registry durch:
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer
Values:
RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
Values:
DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesWinOldApp
Values:
NoRealMode
Disabled
Keys:
HKEY_CURRENT_USERSoftwareMicrosoft
InternetExplorerMainWindow Title
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerMainWindow Title
Values:
Window Title
Start Page
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionWinlogon
Values:
LegalNoticeCaption
LegalNoticeText
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerExtensions
{C18CB140-0BBB-11D4-8FE8-0088CC102438}
Values:
ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
Internet ExplorerMenuExthow to * japanese
Key:
HKEY_CLASSES_ROOTDriveshellhow to * japan
Keys:
HKEY_LOCAL_MACHINESoftwareCLASSES.exe
HKEY_LOCAL_MACHINESoftwareCLASSES.reg
HKEY_LOCAL_MACHINESoftwareCLASSES.htm
HKEY_LOCAL_MACHINESoftwareCLASSES.html
HKEY_LOCAL_MACHINESoftwareCLASSES.txt
HKEY_LOCAL_MACHINESoftwareCLASSES.inf
HKEY_LOCAL_MACHINESoftwareCLASSES.dll
HKEY_LOCAL_MACHINESoftwareCLASSES.ini
HKEY_LOCAL_MACHINESoftwareCLASSES.sys
HKEY_LOCAL_MACHINESoftwareCLASSES.com
HKEY_LOCAL_MACHINESoftwareCLASSES.bat
Value:
(default) is set to textfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Value:
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices
Value:
LoadPowerProfile
SchedulingAgent
Kontakt:
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
Ransomware-Angriff auf die KI-gesteuerte Lieferkettenplattform Blue Yonder hat weitreichende Auswirkungen.
Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…
ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…
Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…
Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.