Power Wurm infiziert Rechner über Office-Dateien

Die Trend Micro Forscher haben eine neue Malware-Familie gefunden, die über Word- und Excel-Dateien den Rechner des Anwenders infizieren sollen. Infizierte Office-Dateien bzw. Malware die dort eingebettet wurden, sind eigentlich nichts Neues, allerdings wartet der “Power-Worm” mit erweiterten Techniken auf. Mit anonymisierten Datenaustausch über das Tor-Netzwerk und einem Web-Cache-Proxy nimmt die Malware Kontakt mit dem Command und Control Server auf.

Die Experten von Trend Micro haben diese Malware-Familie als W97M_CRIGENT.JER und X97M_CRIGENT.A identifiziert und wird in der Regel vom Anwender von kompromittierten Internetseiten heruntergeladen, bzw. von anderer Schadsoftware auf dem System abgelegt.

Wird eine infizierte Office-Datei gestartet, werden gleich weiter Komponenten vom Command und Control Server heruntergeladen und auf dem System installiert. Auffällig bei dieser Infektion ist, dass CRIGENT anstatt eigene Ausführungsroutinen (.exe), auf eine betriebssystemeigene Powershell zum Ausführen des Schadcodes zurückgreift.

Bildschirmfoto 2014-04-01 um 10.30.12

Da die installierte Schadsoftware im ständigen Austausch mit seinem Command und Control Server ist, werden verschiedene Statusinformationen vom infizierten System über den C&C Server abgefragt und im Erfolgsfall werden verschiedene System-und persönlichen Daten an ihn übersendet.

Diese Daten u.a. werden übersendet:

  • IP-Adresse
  • Landescode
  • Namen des Landes
  • Regionaler Code
  • Regionsname
  • Stadt
  • Postleitzahl
  • Breitengrad
  • Berechtigungen für das Nutzerkonto
  • Betriebssystemversion
  • Betriebssystemarchitektur
  • Domäne
  • Betriebssystemsprache
  • Microsoft Office-Anwendunge
  • Microsoft Office-Versionen

Da die Malware im ständigen Kontakt mit dem  C&C Server steht, ist eine komplette Übernahme des Systems von Cyberkriminellen nicht ausgeschlossen.

Was ist Powershell?

Powershell ist ein mächtiges Shell-Scripting-Werkzeug und wurde anfänglich als erweiterte Skriptsprache für administrative Zwecke von Microsoft entwickelt, um verschiedene Routineabläufe zu automatisieren. Ab Windows7 ist die Powershell standardmäßig im System integriert worden. Ein PowerShell-Skript ist nichts anderes als eine einfache Textdatei und daher schlecht im Datei-System auf dem Rechner zu finden.

Wie kann ich mich schützen?

  1. Eine Indiz für einen Infektion könnte das Auftauchen von Tor oder Polipo im Netzwerkverkehr sein. Überprüfen können Sie die Netzwerkaktivitäten mit dem von Microsoft kostenfrei bereit gestellte TcpView.
  2. Halten Sie immer Ihre Antiviren-Lösung aktiv und aktuell.
  3. Laden Sie keine Files oder Anwendungen von dubiosen Quellen herunter
  4. Seien Sie kritisch beim lesen dubioser E-Mails/ SMS und deren Anhänge.
  5. Überprüfen Sie den Rechner auf evtl. Infektionen mit unserem kostenfrei bereitgestellten “zweite Meinung” Scanner.

Ich komme bei der Säuberung nicht weiter?

Melden Sie sich kostenfrei in unserem Forum an und erstellen Sie dort einen neuen Beitrag mit dem Problem. Die Experten helfen “Schritt für Schritt” bei der Bereinigung des Rechners.