Exploit-Expiro kompromittiert mit neuen Kombinationen die Windowsrechner

Eine neue Welle von ungewöhnlichen Malware-Angriffen erobert Firmen und Organisationen in den USA. Die User werden auf bösartige mit Malware kompromittierte Websiten gelockt und über ein eingebettetes Exploit-Kit wird versucht, veraltete Java-Applets und PDF-Anwendungen zu kompromittieren und das Betriebssystem mit Schadsoftware zu infizieren. Diese sogenannte “PE_EXPIRO.JX-O-Infektion” bringt allerdings einige für diese “Art” Malware neue und ungewöhnliche Kombinationen mit.

Bildschirmfoto 2013-07-22 um 10.34.15

Aktionen der Malware auf dem Rechner

Nachdem eine Sicherheitslücke auf dem Rechner gefunden wurde und somit der Schadcode auf das Betriebssystem gelangt ist, wird automatischen ein Neustart des Rechners provoziert. Danach beginnt die Malware mit seiner “Arbeit” und versucht alle EXE-Dateien auf dem System zu infizieren, bzw. sich selber zu replizieren. Also die ganz normale Tätigkeit eines Fileinfektors, wie z.B. der Ramnit. Weiterhin wird versucht andere Rechner zu infizieren, indem nach Schwachstellen im Netzwerk gesucht wird.

Das ungewöhnliche an diesem EXPIRO-Fileinfektor ist, dass er Informationen und persönliche Daten stiehlt, wie z.B. Windows-Produkt-ID, Laufwerksvolumen Seriennummer, Windows-Version und Benutzer-Anmeldeinformationen. Die Malware stiehlt auch gespeicherte FTP-Zugangsdaten von Filezilla und FTP-Clients, über die dann die gestohlenen Informationen an verschiedene Command-and-Control Server hochgeladen werden. Aus diesem Grund wird vermutet, das diese Malware auf einer spezielle Zusammenstellung beruht und keine Malware-Tool “off-the-shelf attack Tool” von der Stange ist.

Hinweis: Für eine manuelle Deinstallation benötigen Sie ein großes Know-how des Betriebssystems und die Bearbeitung der Registrierung. Wir empfehlen Ihnen die Entfernung mit einem Antiviren-Tool wie z.B. dem HitmanPro oder Malwarebytes.
Um es noch mal deutlich zu machen, diese Malware infiziert innerhalb kürzester Zeit, wie oben schon beschrieben sämtliche ausführbare Programme (.EXE) auf dem Rechner. Bleibt bei der Bereinigung nur eine infizierte Datei auf dem System zurück, geht der Spuk von vorne los. Grundsätzlich sollte bei diesen Infektionen immer eine Neuinstallation angestrebt werden!


Wie kann ich mich gegen diese Infektion schützen?

  • Halten Sie immer Ihr Betriebssystem aktuell und spielen alles Sicherheitspatches auf
  • Installieren Sie eine professionelle AV-Software und achten Sie darauf, dass diese immer aktuell und im Hintergrund (als Guard) mitläuft.
  • Überprüfen Sie Ihren Rechner regelmäßig auf Schadcode-Befall, und holen Sie sich hierbei IMMER eine zweite Meinung durch HitmanPro oder unsere DE-Cleaner ein!
  • Machen Sie bei unserem JAVA-Experiment mit und deinstallieren Sie JAVA.
  • Surfen Sie nicht mit einem administrativem Konto. Denn wenn Sie ohne Authentifizierung Programme installieren können, dann kann dies auch ein Schadprogramm.
  • Halten Sie Ihre Software aktuell: Hierbei hilft Ihnen z.B. CSIS Heimdal Security Agent.
  • Surfen Sie mit Mozilla’s FireFox? Dann greifen Sie auf die Browsererweiterungen wie Noscript, Adblock , WOT und  HitmanPro.Alert zurück.
  • Nutzen Sie die “Windows Systemwiederherstellung” und greifen Sie auf eine Imaging-Software zurück, beispielsweise Acronis. Beachten Sie hierbei, dass die Imageabbilder Ihre Passwörter und persönlichen Daten enthalten. Hier empfehlen wir den Einsatz von verschlüsselten Festplatten. Testen Sie das Einspielen der von Ihnen erstellten Systemabbilder (“images”) nach einem festen Zeitplan.
  • Öffnen Sie Dateien nur von vertrauenswürdigen Quellen und wenn Sie diese erwarten. Dies gilt für Datei-Anhänge aus E-Mails genauso, wie für Downloads aus dem World Wide Web. Meiden Sie Streaming-Platformen!