Windows Shortcut-Schwachstelle öffnet nun auch Zeus/ZBOT-Varianten und Sality Tür und Tor

Wie von Trend Micro bereits in der vergangenen Woche berichtet, haben die Exploits der Windows Shortcut-Schwachstelle kontinuierlich zugenommen. Das Expertenteam von Trend Micro hat nun herausgefunden, dass neuerdings auch ZBOT-Varianten über bösartige Anhänge in Spamnachrichten auf diesem Wege verbreitet werden. Diese bösartigen Mails geben vor, von Microsoft selbst zu stammen und eine Installationsanleitung für ein angebliches Sicherheits-Update zu enthalten, wobei sogar ein vermeintliches Kennwort für die vorgeblich geschützte ZIP-Datei mitgeliefert wird. Im Betreff führen diese das irreführende Versprechen, ein "Microsoft Windows Security Advisory" zu beinhalten. Das an diese Nachrichten angehängte Archiv enthält jedoch eine bösartige .LNK-Datei, die Trend Micro als LNK_STUXNET.SM identifiziert hat. Darüber hinaus wurde eine bösartige .DLL-Datei entdeckt, die als TROJ_ZBOT.BXW ihr Unwesen treibt.

Wird der Exploit-Code im Shortcut angestoßen, so führt er die Malware-Komponente aus, die dann ihrerseits den Hauptschädling TROJ_ZBOT.BXW herunterlädt und ausführt. Dabei handelt es sich um eine ZBOT 2.0-Variante, die Trend Micro schon zu Beginn dieses Jahres entdeckt hatte. Bereits bekannte SALITY-Dateiinfektoren wie beispielsweise PE_SALITY.LNK-O werden jedoch nun auch für diese Schwachstelle eingesetzt.

Bisher wurde noch kein Patch für diese immer gefährlicher werdende Schwachstelle zur Verfügung gestellt, sondern lediglich ein sogenanntes "Fix-Tool" für das Deaktivieren von .LNK und .PIF! veröffentlicht.

Weitere Informationen zu den Gefahren dieser Windows-Schwachstelle sind im deutschsprachigen Trend Micro-Blog unter http://blog.trendmicro.de/zeuszbot-and-sality-nutzen-die-shortcut-schwachstelle/ erhältlich.