Windows-Hintertür lädt Zerstörungsroutinen nach
Der Antivirenhersteller F-Secure berichtet von einer Windows-Backdoor, die seit Kurzem Zerstörungsroutinen zum Nachladen angeboten bekommt.
Der finnische Antivirenhersteller F-Secure berichtet von der Windows-Backdoor Haxdoor.KI, die seit Kurzem Schadsoftware nachlädt, die auf Geheiß des Botnetzbetreibers die Windows-Installation zerstören kann. Die Hintertür ist vor wenigen Tagen per E-Mail bei potenziellen Opfern eingetrudelt. Die Nachrichten waren in Deutsch oder Schwedisch verfasst und wiesen auf eine Rechnung im Anhang hin – wie inzwischen üblich, handelte es sich dabei jedoch um die ausführbare Datei, die den Schädling installiert.
Haxdoor.KI verfügt über eine Fülle an Funktionen wie das Ausspähen von E-Mail-Passwörtern, das Mitschneiden von Zugangsdaten zu Online-Zahlungssystemen oder Nachladeroutinen, über die weitere Software auf das infizierte System eingespielt werden kann. Außerdem versteckt sich der Schädling mittels Rootkit-Techniken vor den System-APIs und vor Sicherheitssoftware; er versucht weiterhin, diverse Schutzsoftware wie Desktop-Firewalls zu beenden.
Die Backdoor greift bislang über eine speziell konstruierte URL auf einen in Russland stehenden Server unter der Adresse skynet.info zu. Die hinter der Adresse angebotene Software hat sich seit Kurzem geändert: Das Programm samki.exe ist in der Lage, auf Zeichen des "Administrators" der Backdoor die Windows-Installation so weit zu zerstören, dass sie sich nicht mehr reparieren lässt.
Eine echte Schadfunktion ist in aktuellen Viren, Würmern oder Trojanischen Pferden äußerst ungewöhnlich. Den Virenbastlern beziehungsweise ihren Auftraggebern geht es schließlich darum, möglichst lange unentdeckt über das System herrschen zu können – so können sie ihr Botnetz aus den infizierten Rechnern länger zum Versenden von lukrativem Spam oder Phishing-Mails oder zur Erpressung von Unternehmen und Institutionen mittels Distributed-Denial-of-Service-Angriffen nutzen.
Wie weit die Schadsoftware verbreitet ist, bleibt unklar. Dennoch sollten Windows-Nutzer, die sich nicht sicher sind, ob sie den vermeintlichen Rechnungsanhang einer E-Mail geöffnet haben, mit einem aktualisierten Virenscanner oder von einem sauberen Boot-Medium wie der Knoppicillin-CD aus der c't 23/05 ihren Rechner auf Virenbefall überprüfen und gegebenenfalls reinigen. Weitere Hinweise zum sicheren Umgang mit E-Mails liefert auch der c't-Emailcheck.
Siehe dazu auch: (dmk)
- Haxdoor.KI, Analyse von F-Secure