Neue Windows – Sicherheitslücke entdeckt

Einmal installiert, lädt der Trojaner einen Hintertürschädling auf das infizierte System. Dabei nutzt er eine erst vor Kurzem bekannt gewordene Sicherheitslücke „CVE-2013-5065“ in den Windows-Versionen XP und Server 2003 aus. Der Schädling startet verschiedene Aktionen wie das Herunterladen und Installieren von Programmen, das Löschen von Dateien und das Einrichten von Benutzerkonten mit Administratorrechten starten. Außerdem spioniert er auf dem infizierten System die unterschiedlichsten Informationen aus und sendet sie über einen Befehls- und Kontrollserver an die kriminellen Hintermänner im Web. Diese interessieren sich offenbar für Daten wie die Benutzerkonten und -namen, die Daten zum Rechner, der Festplatte und den verwendeten Ordnern, die installierten Windows-Updates, die laufenden Prozesse oder die IPv4-TCP-Verbindungstabellen. Zur Entfernung des Schädlings schlägt Trend Micro unverbindlich folgende Schritte vor, die jedoch nur für Windows-Administratoren und sehr erfahrene Nutzer empfohlen werden.
1. Um das System vollständig scannen zu können, muss die Funktion „Systemwiederherstellung“ deaktiviert werden.
2. Anschließend sollte mittels einer geeigneten Sicherheitslösung der Trojaner TROJ_PIDIEF.GUD entfernt werden, der für das Herunterladen des Hintertürschädlings verantwortlich ist.
3. Nun muss das System im abgesicherten Modus neu gestartet werden.
4. Jetzt gilt es, folgenden Eintrag in der Systemregistrierung von Windows zu entfernen:
In HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon
- Shell = "explorer.exe, {Malware Path and filename}.exe"
5. Danach kann das System im normalen Modus neu gestartet werden. Nun lässt sich mit einer Sicherheitssoftware nach dem Hintertürschädling fahnden.