Symantec warnt vor einem neuen Trojaner, der Windows PCs absolut unbrauchbar machen kann: Der tückische Angreifer namens „Offensive“ versteckt sich in einer normalen HTML-Seite, auf die User beispielsweise durch eine E-Mail gelockt werden. Wer auf dieser Site einen Start-Button drückt, wie er beispielsweise bei Formularfeldern bekannt ist, macht sich viel unnötige Arbeit.
Sämtliche Icons verschwinden vom Desktop. Außerdem sorgt „Offensive“ dafür, dass kein einziges Programm mehr ausgeführt werden kann. Ein Herunterfahren von Windows ist ebenso unmöglich wie das System im sicheren Modus weiter zu betreiben.
Zwar hat dieser Trojaner nach jetzigem Kenntnisstand noch nicht weltweit großen Schaden verursacht, dennoch steht er aufgrund seiner potenziellen Gefährlichkeit auf den aktuellen Virenlisten weit oben.
Betroffene User haben nur wenige Möglichkeiten: Falls möglich, ist die Registry manuell zu editieren oder durch ein vorher erstelltes Backup zu ersetzen. Wer so unvorsichtig war und keine Sicherheitskopie angefertigt hat, dem bleibt laut Symantec nur ein Ausweg: Die Neuinstallation von Windows.
ZDNet bietet im Download-Bereich einige wirkungsvolle Tools zum Schutz vor Trojanern.
Ist ein PC vom Trojaner befallen, so führt dieser folgende Änderungen in der Registry durch:
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer
Values:
RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
Values:
DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesWinOldApp
Values:
NoRealMode
Disabled
Keys:
HKEY_CURRENT_USERSoftwareMicrosoft
InternetExplorerMainWindow Title
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerMainWindow Title
Values:
Window Title
Start Page
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionWinlogon
Values:
LegalNoticeCaption
LegalNoticeText
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerExtensions
{C18CB140-0BBB-11D4-8FE8-0088CC102438}
Values:
ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
Internet ExplorerMenuExthow to * japanese
Key:
HKEY_CLASSES_ROOTDriveshellhow to * japan
Keys:
HKEY_LOCAL_MACHINESoftwareCLASSES.exe
HKEY_LOCAL_MACHINESoftwareCLASSES.reg
HKEY_LOCAL_MACHINESoftwareCLASSES.htm
HKEY_LOCAL_MACHINESoftwareCLASSES.html
HKEY_LOCAL_MACHINESoftwareCLASSES.txt
HKEY_LOCAL_MACHINESoftwareCLASSES.inf
HKEY_LOCAL_MACHINESoftwareCLASSES.dll
HKEY_LOCAL_MACHINESoftwareCLASSES.ini
HKEY_LOCAL_MACHINESoftwareCLASSES.sys
HKEY_LOCAL_MACHINESoftwareCLASSES.com
HKEY_LOCAL_MACHINESoftwareCLASSES.bat
Value:
(default) is set to textfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Value:
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices
Value:
LoadPowerProfile
SchedulingAgent
Kontakt:
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.