Um nachweisen zu können, dass die vorhandene Microsoft-Software keine Crack-Version, sondern eine legal erworbene ist, haben sich bereits viele Anwender die Datei "office_genuine.exe? heruntergeladen. Seit Ende 2010, so der Antivirenexperte Bitdefender in einer aktuellen Warnung, sei das Tool allerdings nicht mehr aktuell, ein Backdoor-Wurm jedoch nutze die Unwissenheit der Anwender über "office_genuine.exe? allerdings zur getarnten Verbreitung. Wie Bitdefender herausfand, schleust sich Win32.Worm.Coidung.B über den Yahoo-Messenger ein und spioniert nach erfolgreicher Infektion Nutzerdaten aus.
Gemeinsam mit Win32.Worm.Coidung.B, so der Anbieter weiter, nistee sich ein gefährlicher Begleiter auf dem kompromittierten System ein: Win32.Virtob. Getarnt als „office_genuine.exe” arbeite Coidung sehr schnell: Zunächst deaktiviert er die Windows-Firewall, anschließend öffnet er eine „Hintertür“ zum Rechner, um dem Angreifer aus der Ferne Zugang zu gewähren.
Tarnung gegen Sicherheitspolizei
Mobiles Surfen wird gefährlicher: Über 800 neue Android-Schädlinge im Oktober
Security-Schulung mit praktischen Übungen
Win32.Worm.Coidung.B erstelle zeitgleich mehrere Kopien von sich selbst unter verschiedenen Bezeichnungen in unterschiedlichen Systemdateien. Die Registry modifiziere er so, dass er selbst und all seine Kopien beim Systemstart aktiviert werden. Coidungs Begleiter Virtob infiziere in der Zwischenzeit vor allem ASP-, HTM- und PHP-Scripts: die gängigsten Dateiformate für Web-Applications. Erhält er das entsprechende Kommando seines Remote-Angreifers, lade er weitere Malware nach, die wiederum ihr Unwesen treibt – eine infektiöse Kettenreaktion.
Nutzer der aktuellen Bitdefender-Software Antivirus Plus, Internet Security und Total Security 2012 sind nach Bekunden des Herstellers auf der sicheren Seite, da die Sicherheitsprogramme die genannten Schädlinge umgehend erkennen und inklusive aller Kopien beseitigen. Weitere Informationen finden sich unter www.bitdefender.de.