Downadup erfährt Relaunch

Der Sicherheitsexperte Bitdefender hat eine neue Variante der seit November 2008 existierenden Malware Downadup entdeckt. Der Wurm nutzt eine Sicherheitslücke im Windows-RPC-Server-Dienst, um sich zu verbreiten.

Die neue und „verbesserte“ Version des Wurms wurde mit einer Reihe neuer Funktionen als Ergänzung zu den üblichen Verbreitungsmechanismen ausgestattet. Inzwischen nutzt der Schädling auch USB-Sticks für seine Verbreitung. Dazu kopiert er sich in ein beliebiges Verzeichnis innerhalb des Recycler-Odners, der vom Papierkorb dazu genutzt wird, gelöschte Dateien zu speichern. Danach erstellt der Wurm laut Bitdefender eine Datei mit dem Namen autorun.inf im Rootverzeichnis des betreffenden Datenträgers. Dies garantiert bei aktivierter Autorun-Funktion das automatische Ausführen, sobald der USB-Stick angeschlossen wird.

Über dies infiltriert Downadup TCP-Funktionen und filtert Internetadressen mit festgelegter Zeichenfolge heraus, sodass Security-spezifische Websites geblockt werden. Zusätzlich werden dem Benutzer alle Zugangsrechte genommen. Lediglich das Ausführen von Dateien sowie die Benutzung von Ordnern bleiben möglich. Dies soll einen Schutz der Wurm-Dateien garantieren. Damit noch nicht genug, haben die Autoren auch an das Verstecken gedacht, denn die Schadsoftware verfügt auch noch über die Fähigkeit, die Antivirus-Erkennung zu umgehen, indem er die selten verwendete Schnittstelle zur Anwendungsprogrammierung benutzt. Außerdem deaktiviert er die Windows Updates sowie speziellen Netzwerkverkehr und optimiert Visata Features, die ihn in seiner Verbreitung unterstützen. Laut Bitdefender kommt die B-Variante mit ähnlichem Domain-Namen-Algorithmus daher, der in dieser Form bereits in Botnetzen wie Rustock vorgefunden wurde. Pro Tag stellt er 250 Domains zusammen und sucht nach Updates oder anderen Dateien, die er dann herunterlädt und installiert.