In der vergangenen Woche hat Microsoft die Sicherheitsempfehlung 2914486 veröffentlicht, in der das Unternehmen vor einer bis dahin nicht allgemein bekannten Schwachstelle in Windows XP und Server 2003 warnt. Eingeschleuster Code, etwa Malware, könnte sich höhere Rechte verschaffen. Diese Lücke (CVE-2013-5065) wird bereits für gezielte Angriffe ausgenutzt.
Der Antivirushersteller Trend Micro hat den Angriffs-Code analysiert und erläutert, wie der eingeschleuste Hintertürschädling aufgespürt und entfernt werden kann. Ausgangspunkt ist eine präparierte PDF-Datei, die Exploit-Code für eine bekannte Sicherheitslücke im Adobe Reader enthält. Betroffen ist Adobe Reader bis einschließlich 11.0.02, 10.1.6 sowie 9.5.4. Neuere Versionen sind nicht betroffen. Trend-Micro-Produkte erkennen eine solche PDF-Datei als "TROJ_PIDIEF.GUD".
Wird die PDF-Datei in einem anfälligen Adobe Reader geöffnet, legt sie ein Trojanisches Pferd ab, das über die neu entdeckte Windows-Lücke einen Hintertürschädling namens "BKDR_TAVDIG.GUD" installiert. Dieser trägt sich in die Windows-Registry ein, um bei jedem Systemstart geladen zu werden. Er spioniert verschiedenste Informationen auf dem befallenen Rechner aus. Dazu nutzt er auch Code, den er in die Web-Browser Internet Explorer, Firefox, Chrome und Opera einschleust. Die gesammelten Daten werden an einen Server der Online-Kriminellen geschickt.
Um diesen Schädling aufzuspüren, muss die Windows-Systemwiederherstellung deaktiviert werden. Dann sollte eine Antivirus-Software eingesetzt werden, um den durch die PDF-Datei eingeschleusten Schädling TROJ_PIDIEF.GUD zu beseitigen. Nach dem Neustart des Systems im Abgesicherten Modus muss dieser Eintrag in der Windows-Registry entfernt werden:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe, {Malware Path and filename}.exe" Das System kann nun wieder im normalen Modus gestartet werden. Da der Hintertürschädling jetzt nicht mehr beim Neustart geladen wird, lässt er sich mit einer Antivirus-Software aufspüren und entfernen.
Die Sicherheitslücke in Windows XP und Server 2003 steckt in dem Dienst NDProxy, der Telefonieanwendungen, etwa Einwahlprogramme, mit der Windows Telefonie-API (Programmierschnittstelle) verbindet. Microsoft empfiehlt diesen Dienst durch Umleiten auf den Treiber null.sys zu blockieren. DFÜ-Netzwerk, RAS-Dienst (Remote Access) und VPN (virtuelles privates Netzwerk) funktionieren dann jedoch nicht mehr. Ein Sicherheits-Update, das diese Lücke schließen würde, ist noch nicht verfügbar. Der nächste Microsoft Patch Day ist am 10. Dezember.
