Kaspersky: Wurm verbreitet sich über Speichermedien und DNS-Umleitungen im Netzwerk

07. Juni 2011
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Die Experten von Kaspersky haben neue Verbreitungsmechanismen bei dem Schadprogramm TDSS entdeckt.

Dadurch erlangt TDSS nun die Fähigkeit, sich selbst weiterzuverbreiten. Diese Wurm-Variante des Schadprogramms hat Kaspersky "Net-Worm.Win32.Rorpian" genannt.

Laut Analyse des Schadprogramms verwendet es zwei Wege, um Rechner zu infizieren:

  1. Es kopiert sich auf Speichermedien, z.B. USB-Geräte und Speicherkarten, um zu anderen Computern transportiert zu werden. Dort wird es automatisch gestartet, wenn der Autostart für das Speichermedium aktiv ist. Falls das nicht klappt, sollen drei unterschiedliche Verknüpfungen Sie dazu bringen, das Schadprogramm manuell zu starten: "setup.lnk", "myporno.avi.lnk" und "pornmovs.lnk".
  2. Auf infizierten Rechnern richtet das Schadprogramm einen DHCP-Server ein. Es verteilt dann an die anderen Rechner im Netzwerk gültige IP-Adressen, ändert dabei jedoch den DNS-Server. Sämtliche Namensauflösungen landen dadurch beim DNS-Server der Wurm-Autoren. Dieser leitet die Nutzer des Rechners mit gefälschten DNS-Antworten auf Internetseiten mit schädlichen Inhalten um.

Wenn ein Rechner in Ihrem Netzwerk von einem bereits infizierten Rechner per DHCP den DNS-Server der Wurm-Autoren zugewiesen bekommt, werden Sie beim Öffnen von Internetseiten auf diesem Rechner immer auf eine Fehlerseite umgeleitet.

Bei der Fehlerseite handelt es sich um eine Internetseite der Wurm-Autoren. Auf ihr steht, dass Ihre Web-Browser-Version nicht unterstützt wird und Sie ein Update durchführen müssen. Dafür wird Ihnen mittig auf der Seite eine große Update-Schaltfläche angeboten. Allerdings installieren Sie über diese Schaltfläche anstatt einem Browser-Update das Schadprogramm auf dem Computer.

Installieren Sie daher das angebliche Update auf keinen Fall. Versuchen Sie stattdessen in Ihrem Netzwerk den infizierten Rechner zu finden, der die falsche DNS-Server-Adresse per DHCP verteilt. Ihn trennen Sie dann umgehend vom Netzwerk und nehmen die Desinfektion des Rechners mit einem aktuellen Removal-Programm vor. Dafür nutzen Sie beispielsweise das AVP-Tool von Kaspersky.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"