Desinfektion

Hintertür-Schädling nutzt neue Lücke in Windows XP

Eine erst kürzlich bekannt gewordene Sicherheitslücke in Windows XP und Server 2003 wird bereits länger für Malware-Angriffe ausgenutzt. Trend Micro erklärt, wie man den Schädling wieder los wird.

Windows XP: Trend Micro verrät, wie Sie einen aktuellen Schädling entfernen.

© Screenshot: Frank Ziemann / Trend Micro

Windows XP: Trend Micro verrät, wie Sie einen aktuellen Schädling entfernen.

In der vergangenen Woche hat Microsoft die Sicherheitsempfehlung 2914486 veröffentlicht, in der das Unternehmen vor einer bis dahin nicht allgemein bekannten Schwachstelle in Windows XP und Server 2003 warnt. Eingeschleuster Code, etwa Malware, könnte sich höhere Rechte verschaffen. Diese Lücke (CVE-2013-5065) wird bereits für gezielte Angriffe ausgenutzt.

Der Antivirushersteller Trend Micro hat den Angriffs-Code analysiert und erläutert, wie der eingeschleuste Hintertürschädling aufgespürt und entfernt werden kann. Ausgangspunkt ist eine präparierte PDF-Datei, die Exploit-Code für eine bekannte Sicherheitslücke im Adobe Reader enthält. Betroffen ist Adobe Reader bis einschließlich 11.0.02, 10.1.6 sowie 9.5.4. Neuere Versionen sind nicht betroffen. Trend-Micro-Produkte erkennen eine solche PDF-Datei als "TROJ_PIDIEF.GUD".

Wird die PDF-Datei in einem anfälligen Adobe Reader geöffnet, legt sie ein Trojanisches Pferd ab, das über die neu entdeckte Windows-Lücke einen Hintertürschädling namens "BKDR_TAVDIG.GUD" installiert. Dieser trägt sich in die Windows-Registry ein, um bei jedem Systemstart geladen zu werden. Er spioniert verschiedenste Informationen auf dem befallenen Rechner aus. Dazu nutzt er auch Code, den er in die Web-Browser Internet Explorer, Firefox, Chrome und Opera einschleust. Die gesammelten Daten werden an einen Server der Online-Kriminellen geschickt.

Um diesen Schädling aufzuspüren, muss die Windows-Systemwiederherstellung deaktiviert werden. Dann sollte eine Antivirus-Software eingesetzt werden, um den durch die PDF-Datei eingeschleusten Schädling TROJ_PIDIEF.GUD zu beseitigen. Nach dem Neustart des Systems im Abgesicherten Modus muss dieser Eintrag in der Windows-Registry entfernt werden:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe, {Malware Path and filename}.exe"

Das System kann nun wieder im normalen Modus gestartet werden. Da der Hintertürschädling jetzt nicht mehr beim Neustart geladen wird, lässt er sich mit einer Antivirus-Software aufspüren und entfernen.

Die Sicherheitslücke in Windows XP und Server 2003 steckt in dem Dienst NDProxy, der Telefonieanwendungen, etwa Einwahlprogramme, mit der Windows Telefonie-API (Programmierschnittstelle) verbindet. Microsoft empfiehlt diesen Dienst durch Umleiten auf den Treiber null.sys zu blockieren. DFÜ-Netzwerk, RAS-Dienst (Remote Access) und VPN (virtuelles privates Netzwerk) funktionieren dann jedoch nicht mehr. Ein Sicherheits-Update, das diese Lücke schließen würde, ist noch nicht verfügbar. Der nächste Microsoft Patch Day ist am 10. Dezember.

Mehr zum Thema

Wir haben Infos zum aktuellen Patch Day von Microsoft.
Microsoft Patch Day

Microsoft bringt zum Patch Day vier Security Bulletins. Zwei behandeln als kritisch eingestufte Lücken im Internet Explorer und in allen…
Windows XP ist sich selsbt überlassen, viele Nutzer bleiben dem System treu.
"Tickende Zeitbombe"

Der Marktanteil von Windows XP ist laut Erhebungen noch bei 26 Prozent. IT-Sicherheitsexperten raten zum Wechsel und bezeichnen XP als "tickende…
Screenshot: KB3035583 blockieren
KB3035583 blockieren

KB3035583 bringt ein Werbe-Tool für Windows 10. Wir zeigen, wie Sie den Patch deinstallieren und dauerhaft in Windows Update blockieren.
Sicherheitsschloss geknackt
Redirect to SMB

"Redirect to SMB" sei eine schwere Sicherheitslücke in Windows und vielen Programmen. Am meisten gefährdet sind laut Experten Nutzer öffentlicher…
Windows XP
Windows XP

Die Deutsche Rentenversicherung (DRV) setzt angeblich noch rund 40.000 Rechner mit Windows XP ein. Die DRV behauptet, die Rechner seien ausreichend…