MSRT vs. W32/Ramnit

Schädling infiziert EXE-, HTML- und Office-Dateien

Das neueste Ziel auf der Abschussliste von Microsofts Schädlingsbekämpfer MSRT ist W32/Ramnit, eine multifunktionale Malware-Familie, die seit etwas einem Jahr bekannt ist. Diese Schädlinge weisen Charakteristika von Dateiviren, Würmern und Trojanischen Pferden auf.

News
image.jpg
© Frank Ziemann

Microsoft hat bei seinem Patch Day am 10. Mai nicht nur zwei Security Bulletins veröffentlicht, sondern auch sein "Tool zum Entfernen bösartiger Software" (MSRT, Malicious Software Removal Tool) aktualisiert. Neu sind nach Angaben von Scott Molenkamp im Blog des Microsoft Malware Protection Center Erkennungs- und Beseitigungsroutinen für die Malware-Familie W32/Ramnit. Schädlinge dieses Typs infizieren nicht nur ausführbare Dateien mit den Endungen EXE, SCR und DLL sondern auch HTML- und zum Teil sogar Office-Dateien.Bei der Infektion von HTML-Dateien fügt W32/Ramnit ein kleines Stück VBScript-Code an, das ein Installationsprogramm für W32/Ramnit startet. Eine im März entdeckte Variante durchsucht zudem Festplatten und Wechselmedien nach Office-Dateien der Typen DOC, DOCX und XLS. Der eingefügte Code hat die gleiche Aufgabe wie der HTML-Infektor. Neuere Ramnit-Varianten enthalten den Office-Infektor nicht mehr.W32/Ramnit verbreitet sich zudem Wurm-artig auf angeschlossene Wechselmedien wie etwa USB-Sticks. Der Schädling spioniert außerdem Daten aus, etwa FTP-Passwörter und Browser-Cookies. Außerdem kann W32/Ramnit eine Hintertür ins System öffnen, um auf Befehle seines Herrn und Meisters aus der Ferne zu lauschen.Microsofts Tool zum Entfernen bösartiger Software wird regelmäßig beim Patch Day aktualisiert und erweitert. Es wird via Windows Update verteilt und läuft nach diesem Download genau einmal. Wer das Programm erneut einsetzen möchte, kann es von Microsofts Website kostenlos herunter laden. Eine sinnvollere Alternative kann jedoch der neue Microsoft Safety Scanner sein. Dieser verfügt über die gesamte Malware-Datenbank, die auch Microsoft Security Essentials nutzt, ist ebenfalls kostenlos erhältlich und muss nicht installiert werden.

13.5.2011 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Windows Update: Screenshot

Windows Update jetzt ausführen

Microsoft veröffentlicht Notfall-Patch - auch für Windows 10

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.

Symbolbild für Internet-Sicherheit und Spionage

Teslacrypt

Erpresser-Trojaner hat es auf Spielstände abgesehen

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…