Warnung vor teuflischem Windows-Virus

Sicherheitsforscher warnen vor einem neuen Windows-Schädling, der es auf Login-Daten und Bank-Verbindungen abgesehen hat.

Betroffen sind Windows XP, Windows Vista, Windows Server 2003 sowie nicht vollständig gepatchte Windows-2000-Systeme. Der Wurm, so die Experten, habe es in sich, weil er sehr tief im System sitzt, um sich dort vor Anti-Viren-Programmen zu verbergen. Er wird über manipulierte Web-Seiten verbreitet, die ein Leck im Browser ausnutzen, um den Schad-Code auf dem System zu installieren.

Der Virus überschreibt einen Teil des Master Boot Record (MBR). Aus dieser Datei bezieht der Rechner beim Booten Informationen über das Betriebssystem. Damit kann der Schädling der Gruppe der Rootkits zugerechnet werden. Besonders hinterhältig ist die Tatsache, dass die Entwickler des Schädlings ihn in einem verborgenen MBR-Bereich einstellen.

Findet ihn ein Antivirenprogramm, so installiert sich der Schadcode anschließend automatisch auf dem System neu. Zudem lässt sich der Schädling nicht aus einem laufenden System löschen. Vor allem sei es laut dem Sicherheitsforschungs-, und Softwareunternehmen Symantec besonders perfide, dass der Schädling dabei selbst nicht aktiv ist. Ist er erst einmal auf dem System, so lädt er verschiedene Programme nach. Darunter Keylogger, die vertrauliche Informationen, wie Daten fürs Online-Banking ausspionieren sollen. Über 900 unterschiedliche Finanzinstitutionen ‘unterstützt’ der Schädling.

Über den Befehl “fixmbr” in der Windows Recovery Console seien die Experten bei Symantec jedoch in der Lage gewesen, den ursprünglichen Zustand des MBR wieder herzustellen.  Um solche Angriffe zu vermeiden sei “jetzt ein guter Zeitpunkt” im BIOS den Schreibschutz des Master Boot Records zu aktiveren, hieß es von Symantec.

“Wer den MBR kontrolliert, der hat die Kontrolle über das Betriebssystem und damit über den gesamten Rechner”, sagte Elia Florio im Symantec-Blog. Der Schädling soll angeblich russischen Ursprungs sein und wurde Mebroot getauft.

Bei iDefense ist der Schädling seit Oktober bekannt. Erste Attacken aber fanden offenbar erst im Dezember statt. Seitdem hat der Sicherheitsdienstleister über 5.000 infizierte Rechner entdeckt. Trend Micro meldete eine verhältnismäßig geringe Verbreitung des Schädlings über folgende Domains: BFF1TWE.COM, IMM2TWE.COM, FTT3TWE.COM GUUATWE.COM, GFEPTWE.COM, ANOPLEV.COM und HGFDTWE.COM.