Microsoft löscht Tor-Software nach Trojaner-Befall

Von mehreren hunderttausend Windows-PCs hat Microsoft veraltete Tor-Software gelöscht, die ein Trojaner installiert hatte. Auf bis zu zwei Millionen Rechnern soll der heimlich eingerichtete Dienst immer noch aktiv sein.

In Pocket speichern vorlesen Druckansicht 88 Kommentare lesen
Lesezeit: 2 Min.

Microsoft hat von mehreren hunderttausend Windows-PCs Tor-Software gelöscht, die ein Trojaner zuvor heimlich installiert hatte. Tor selbst sei zwar "eine gute Applikation, um Datenverkehr zu anonymisieren" und stelle normalerweise keine Gefahr dar, betonen die Malware-Experten. Doch diese veraltete Version sei ein Risiko.

Der rapide Anstieg der Anzahl der Tor-Nutzer Ende August ist deutlich zu erkennen; der Effekt durch das im November automatisch verteilte MSRT bleibt jedoch gering.

(Bild: TorProject)

Bereits im August berichtete heise Security von einem zunächst rätselhaften Anstieg der Zahl der Tor-Nutzer, der sich dann als Resultat eines Botnetzes heraus stellte. Der von Microsoft als Sefnit bezeichnete Trojaner installierte den Tor-Netzwerkdienst, um seine Kommunikation über das Anonymisierungsnetz abzuwickeln. Dieser zusätzliche Systemdienst wurde unter Umständen auch bei einer Reinigung des Systems durch Antiviren-Software nicht entfernt. Da er sich nicht aktualisiert und zumindest in früheren Tor-Versionen bereits gravierende Sicherheitslücken entdeckt wurden, stufte ihn Microsoft als Gefahr ein und hat begonnen, diese Trojaner-Hinterlassenschaft zu entsorgen. Dabei habe man sich unter anderem auch mit den Tor-Entwicklern abgestimmt, erklärt Geoff McDonald vom Malware Protection Center.

Das Entfernen betrifft demnach nicht die aktuelle Tor-Version 2.4.20 sondern nur das veraltete Paket v0.2.3.25. Es passierte zunächst durch Microsofts Security-Tools wie die Microsofts Security Essentials und den Windows Defender. Seit dem 12. November wird eine entsprechende Signatur auch mit dem Malicious Software Removal Tool beim Windows-Update-Vorgang verteilt. Das führte zwar zu einem sichtbaren Einbruch der Tor-Nutzer-Zahlen, aber es verbleiben nach wie vor rund 2 Millionen überschüssiger Tor-Clients, die Microsoft auf Trojaner zurückführt.

Das Malware Protection Team empfiehlt deshalb Administratoren und fortgeschrittenen Anwendern, ihren Windows-PC selbst auf einen möglicherweise heimlich installierten Tor-Service zu testen. Dies kann man einfach mit dem Kommandozeilenbefehl

C:\> sc query tor

machen. Meldet das einen aktiven Dienst, den man nicht selbst installiert hat, kann man ihn mit sc delete tor dauerhaft abschalten. Zusätzlich kann man das zuvor gemeldete Programm auch löschen oder zumindest umbenennen. (ju)