Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Vorsicht: Malware-verseuchte Office-Echtheitsprüfung

IT-Security und Computerkriminalität

Vorsicht: Malware-verseuchte Office-Echtheitsprüfung

23. November 2011, 10:31 Uhr | Lars Bube
Gut getarnt verbergen sich gleich zwei Schädlinge in der angeblichen Office-Echtheitsprüfung. (Bild: Fotolia)

Der Antivirenexperte Bitdefender warnt vor einer perfiden neuen Malwarefalle der Cyberkriminellen. Sie bieten im Internet eine vermeintliche Echtheitsprüfung für Microsoft Office an, bei der jedoch die Datei »office_genuine.exe« mit zwei Würmern verseucht ist.

Vorsicht bei der Office-Echtheitsprüfung: Wie der Antivirensoftwareanbieter Bitdefender herausgefunden hat, verteilen Cyberkriminelle derzeit vermehrt Malware über eine infizierte Datei »office_genuine.exe«, die ursprünglich zur Echtheitsprüfung für Microsoft Office gedacht war. Damit nutzen die Hintermänner auf perfide Weise die Unwissenheit vieler Nutzer aus. Denn eigentlich wurde diese Methode der Echtheitsüberprüfung von Microsoft bereits seit Ende 2010 abgeschafft. Da dies jedoch viele Nutzer offenbar noch gar nicht mitbekommen haben, verzeichnen die Security-Experten derzeit einen Anstieg der Infektionen über die besagte Prüfungs-Datei.

Eine genauere Untersuchung der verseuchten Datei ergab, dass die Angreifer darin die beiden Schädlinge Win32.Worm.Coidung.B und Win32.Virtob eingeschleust haben. Diese werden sofort mit der Installation der vermeintlichen Echtheitsprüfung aktiv und beginnen ihr sinistres Werk. Als ersten Schritt deaktivieren die Würmer die integrierte Firewall von Windows und richten anschließend eine Hintertür (backdoor) ein, über die die Hacker Zugang zum infizierten Rechner samt der lokalen Daten bekommen.

Indem der Schädling Coidung sich selbst mehrfach repliziert und in wichtigen Systemdateien versteckt, ist er nur sehr schwer wieder sicher von einem einmal befallenen System zu löschen. Durch eine Änderung der Registry-Einträge stellt der Wurm sicher, dass jeweils all seine Kopien beim Systemstart geladen werden. Gleichzeitig infiziert der zweite Wurm, Virtob, mehrere gängige Scripte wie ASP-, HTM- und PHP, die als Basis der meisten Web-Anwendungen gebraucht werden. Dadurch können die Angreifer per Remotezugriff auch weitere Schädlinge nachladen und aktivieren, oder andere fatale Steuerungsbefehle ausführen.

Tipp: Die Echtheits-Prüfung von Office keinesfalls mit dieser Datei vornehmen. Sollte dies bereits geschehen sein, helfen die meisten aktuellen Antivirenprogramme wie Bitdefender Antivirus Plus, um den Schädling zumindest zu erkennen. Vorsicht gilt es darüber hinaus auch beim Einsatz des Yahoo! Messengers walten zu lassen, über den die Infektionen ebenfalls verbreitet werden kann.

Lesen Sie mehr zum Thema

BitDefender GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu BitDefender GmbH

Internationale Bitdefender-Studie

Die Angst vor Künstlicher Intelligenz

Bitdefender stellt GravityZone CSPM+ vor

Mehr Schutz für die Cloud

Bitdefender nennt Hauptakteure

Geopolitik prägt Cybergefahrenlandschaft

Bitdefender: Betrug mit Voice Cloning

Jennifer Aniston ruft an - nicht wirklich

Bitdefender Labs warnen vor Backdoor

Malware greift MacOS-Rechner an

Matchmaker+
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
Riello UPS GmbH

Riello UPS GmbH
d.velop AG

d.velop AG
GN Audio Germany GmbH / Jabra

GN Audio Germany GmbH / Jabra

ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Zyxel Networks A/S

Zyxel Networks A/S