Vermeintliches Erkennungs-Tool für Piraten-Software schleust Malware ein

Backdoor-Wurm deaktiviert die Windows-Firewall und öffnet eine Hintertür zum Rechner, um Angreifern remote Zugang zu gewähren

(25.11.11) - Um nachweisen zu können, dass die vorhandene Microsoft-Software keine Crack-Version, sondern eine legal erworbene ist, haben sich bereits viele User die Datei "office_genuine.exe" heruntergeladen. Seit Ende 2010 ist das Tool allerdings nicht mehr aktuell, ein Backdoor-Wurm jedoch nutzt die Unwissenheit der Nutzer über "office_genuine.exe" allerdings zur getarnten Verbreitung. Bitdefender jetzt herausfand, schleust sich Win32.Worm.Coidung.B über den Yahoo-Messenger ein und spioniert nach erfolgreicher Infektion Nutzerdaten aus.

Gemeinsam mit Win32.Worm.Coidung.B nistet sich ein gefährlicher Begleiter auf dem kompromittierten System ein: Win32.Virtob. Getarnt als "office_genuine.exe" arbeitet Coidung sehr schnell: Zunächst deaktiviert er die Windows-Firewall, anschließend öffnet er eine Hintertür zum Rechner, um dem Angreifer aus der Ferne Zugang zu gewähren.

Win32.Worm.Coidung.B erstellt zeitgleich mehrere Kopien von sich selbst unter verschiedenen Bezeichnungen in unterschiedlichen Systemdateien. Die Registry modifiziert er so, dass er selbst und all seine Kopien beim Systemstart aktiviert werden. Coidungs Begleiter Virtob infiziert in der Zwischenzeit vor allem ASP-, HTM- und PHP-Scripts: die gängigsten Dateiformate für Web Applications. Erhält er das entsprechende Kommando seines Remote-Angreifers, lädt er weitere Malware nach, die wiederum ihr Unwesen treibt - eine infektiöse Kettenreaktion. (Bitdefender: ra)