Trojaner beschimpft Japaner

Eine zehn Monate alte Lücke in Microsofts (Börse Frankfurt: MSF) Version der Java Virtual Machine nutzt der Trojaner „Offensive „, der seit vergangener Woche sein Unwesen treibt. Der tückische Angreifer macht die Benutzung von Windows unmöglich.

Er versteckt sich in Websiten oder HTML-Dateien, die per E-Mail versandt werden (ZDNet berichtete). „Bei befallenen Rechner gehen keinerlei Daten verloren, allerdings ist der Computer zunächst völlig unbrauchbar“, erlärte der Virenspezialist Craig Schmugar von Network Associates.

Wer die Website besucht oder die angehängte HTML-Datei öffnet, startet automatisch ein Javasript-Programm, dass die besagte Lücke nützt. Betroffen sind alle Versionen von Windows, auf denen der Internet-Explorer ab Version 3.0 bis 5.0 Service Pack 1 läuft.

Insgesamt werden rund 50 Einträge in der Registry geändert. Die Folge: Alle Icons verschwinden vom Desktop, kein Programm kann mehr gestartet werden, das Herunterfahren von Windows ist ebenfalls nicht möglich.

Das Programm gilt zwar als äußerst gefährlich, allerdings ist es noch nicht weit verbreitet. Das liegt unter anderem daran, dass es sich im Gegensatz zu zahlreichen Viren wie ILOVEYOU nicht selbst weiterverbreitet, sondern manuell verschickt werden muss.

Laut Symantec hätten sich in Japan eine Handvoll betroffener User gemeldet. „Es könnten noch viel mehr sein, allerdings wissen wir darüber natürlich nichts, weil die Opfer keine Mails mehr senden können“, so Symantec-Entwickler Motoaki Yamamura.

Wer es schafft, den Rechner trotz Infektion neu zu starten, wird mit einer gegen Japan gerichteten Beschimpfung begrüßt: „If you have any trouble, please email findlu@21cn.com“ lautet zunächst eine Einladung, danach erscheint eine Dialogbox, dass dieser Hinweis nicht für Japaner, Hunde und Schweine gelte. 21cn.com ist eine chinesische Website, der Adminstrator konnte jedoch per E-Mail nicht erreicht werden.

Dass sich der Trojaner sehr weit verbreitet, gilt unter anderem deshalb als unwahrscheinlich, weil Microsoft kurz nach Bekanntwerden der Lücke vor zehn Monaten ein Patch veröffentlicht hatte. Außerdem sind Surfer sicher, die Active-X deaktiviert haben.

ZDNet bietet im Download-Bereich einige wirkungsvolle Tools zum Schutz vor Trojanern.

Ist ein PC vom Trojaner befallen, so führt dieser folgende Änderungen in der Registry durch:

Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer

Values:
RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings

Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem

Values:
DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage

Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesWinOldApp

Values:
NoRealMode
Disabled

Keys:
HKEY_CURRENT_USERSoftwareMicrosoft
InternetExplorerMainWindow Title
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerMainWindow Title

Values:
Window Title
Start Page

Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionWinlogon

Values:
LegalNoticeCaption
LegalNoticeText

Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerExtensions
{C18CB140-0BBB-11D4-8FE8-0088CC102438}

Values:
ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText

Key:
HKEY_CURRENT_USERSoftwareMicrosoft
Internet ExplorerMenuExthow to * japanese

Key:
HKEY_CLASSES_ROOTDriveshellhow to * japan

Keys:
HKEY_LOCAL_MACHINESoftwareCLASSES.exe
HKEY_LOCAL_MACHINESoftwareCLASSES.reg
HKEY_LOCAL_MACHINESoftwareCLASSES.htm
HKEY_LOCAL_MACHINESoftwareCLASSES.html
HKEY_LOCAL_MACHINESoftwareCLASSES.txt
HKEY_LOCAL_MACHINESoftwareCLASSES.inf
HKEY_LOCAL_MACHINESoftwareCLASSES.dll
HKEY_LOCAL_MACHINESoftwareCLASSES.ini
HKEY_LOCAL_MACHINESoftwareCLASSES.sys
HKEY_LOCAL_MACHINESoftwareCLASSES.com
HKEY_LOCAL_MACHINESoftwareCLASSES.bat

Value:
(default) is set to textfile

Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun

Value:
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile

Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices

Value:
LoadPowerProfile
SchedulingAgent

Kontakt:
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)