Sicherheit

Wurmkur: MSRT vs. Win32/Helompy

Microsofts kleine Wurmkur für Windows, das "Tool zum Entfernen bösartiger Software", nimmt seit dem letzten Update-Dienstag die Wurm-Familie Win32/Helompy ins Visier. Dieser Schädling verbreitet sich über Wechselmedien und stiehlt Anmeldedaten.

Wurmkur: MSRT vs. Win32/Helompy

© Frank Ziemann

Wurmkur: MSRT vs. Win32/Helompy

Wie bei jedem regulären Patch Day hat Microsoft auch am 13. Dezember seinen Schädlingsbekämpfer "Tool zum Entfernen bösartiger Software" (MSRT, Malicious Software Removal Tool) in einer neuen Version verteilt. Das MSRT 4.3 sucht und beseitigt nun auch Varianten des Wurms Win32/Helompy. Es handelt sich dabei um ein kompiliertes AutoIt-Script, das sich ins Hauptverzeichnis beschreibbarer Wechselmedien wie USB-Sticks kopiert, um sich weiter zu verbreiten.Der seit 2009 bekannte Wurm nutzt ein Ordner-Symbol, um den Anwender zu täuschen. Wer auf den vermeintlichen Ordner klickt, um ihn zu öffnen, startet den Schädling. Damit der Trick nicht gleich auffällt, legt der Wurm dann einen Ordner an, der den gleichen Name wie die eben ausgeführte Datei trägt und öffnet ihn in einer neuen Instanz des Windows Explorer. Der Ordner ist allerdings leer.Helompy legt zudem einen weiteren Ordner an, in dem er eine Kopie von sich ablegt. Die dabei benutzten Dateinamen sind "configuration.exe", "1.exe" oder "lsass.exe". Die Datei ist mit den Attributen "versteckt", "System" und "schreibgeschützt" versehen. Der Wurm trägt im Registry-Schlüssel "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" als "run32" ein, damit er beim jedem Windows-Start automatisch geladen wird.Einmal installiert, protokolliert der Schädling alle Tastatureingaben und stiehlt Anmeldedaten für Online-Dienste wie Google Mail oder Facebook. Die Tastatureingaben werden in einer Datei "systems.dll" im Verzeichnis "\DebugDLL\CatRoot\dll\" auf Laufwerk C: oder D: gespeichert. Der Wurm schickt sie an einen Server im Internet.Hauptverbreitungsgebiet des Schädlings ist die Türkei (60 Prozent), gefolgt von Brasilien und den USA. Das MSRT soll nun dazu beitragen, die Schädlingsfamilie Win32/Helompy einzudämmen. Das Programm wird zusammen mit den Sicherheits-Updates via Windows Update installiert und dann einmal ausgeführt. Es ist jedoch auch über das Microsoft Download Center erhältlich - diese Kopie kann beliebig oft ausgeführt werden.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…