Neue Gefahr bei USB-Sticks: Malware infiziert Windows per LNK-Datei - Update

Wie AV-Test berichtet, sind USB-Sticks wieder ein Stück unsicherer geworden. Man bekam am Mittwoch eine Malware gemeldet, die sich über USB-Sticks verbreitet. Dabei wird aber nicht auf die "autorun.inf"-Methode zurückgegriffen, vielmehr wird eine neue (0Day-)Lücke in Windows genutzt, die auf LNK-Dateien basiert. Daraus resultiert: Allein das Anzeigen des Inhalts des USB-Sticks mit dem Windows Explorer reicht aus, um das System (über die speziell generierten LNK-Dateien) zu infizieren. AV-Test arbeitet bereits mit Microsoft und Anti-Viren-Herstellern zusammen, um die Lücke zu schließen und entsprechende Signaturen zu erstellen.

Update: Microsoft hat die Sicherheitslücke mittlerweile bestätigt. Betroffen sind unter anderem die Betriebssystem Windows XP SP3, Windows Vista und Windows 7. Auch in den nicht mehr unterstützten Versionen Windows XP SP2 und Windows 2000 ist sie vorhanden.

Die aktuelle Erkennung der auf dem USB-Stick anzutreffenden Dateien sieht wie folgt aus:

Scan report of: ~wtr4132.tm$
AntiVir TR/Stuxnet.l
Authentium W32/Trojan3.BQE
Avast Win32:Malware-gen
AVG Dropper.Generic2.YQQ (Trojan horse)
BitDefender Trojan.Generic.4471566
ClamAV -
Dr.Web Trojan.Siggen.64469
Eset Nod32 -
Fortinet -
Fortinet (BETA) W32/Stuxnet.A!tr
F-Prot W32/Trojan3.BQE
F-Secure Trojan.Generic.4471566
G Data Trojan.Generic.4471566
Ikarus Trojan-Dropper.Win32.Stuxnet
ISS VPS -
K7 Computing -
Kaspersky Trojan-Dropper.Win32.Stuxnet.a
Kaspersky (Cons.) Trojan-Dropper.Win32.Stuxnet.a
Kaspersky (Online) Trojan-Dropper.Win32.Stuxnet.a
McAfee -
McAfee (BETA) -
McAfee (Online) Artemis!97FD438F25A4 (trojan)
McAfee GW Edition Artemis!97FD438F25A4
Microsoft TrojanDropper:Win32/Stuxnet.A
Norman -
Panda -
Panda (Online) Generic Trojan
PC Tools Malware.Temphid
QuickHeal -
Rising -
Sophos Sus/UnkPack-C (suspicious)
Spybot S&D -
Sunbelt -
Symantec W32.Temphid
Symantec (BETA) W32.Temphid
Symantec (Online) W32.Temphid
Trend Micro WORM_STUXNET.A
Trend Micro (Cons.) WORM_STUXNET.A
Trend Micro (CPR) WORM_STUXNET.A
VBA32 Trojan-Spy.0485
VirusBuster Trojan.DR.Stuxnet.D (trojan)
Webroot Sus/UnkPack-C

Scan report of: ~wtr4141.tm$
AntiVir TR/Stuxnet.m
Authentium W32/Trojan3.BQF
Avast Win32:Malware-gen
AVG Dropper.Generic2.AACN (Trojan horse)
BitDefender Trojan.Generic.4184925
ClamAV -
Dr.Web Trojan.Siggen.64469
Eset Nod32 -
Fortinet -
Fortinet (BETA) W32/Stuxnet.B!tr
F-Prot W32/Trojan3.BQF
F-Secure Trojan.Generic.4184925
G Data Trojan.Generic.4184925
Ikarus Trojan-Dropper.Win32.Stuxnet
ISS VPS -
K7 Computing Trojan (0017fe291)
Kaspersky Trojan-Dropper.Win32.Stuxnet.b
Kaspersky (Cons.) Trojan-Dropper.Win32.Stuxnet.b
Kaspersky (Online) Trojan-Dropper.Win32.Stuxnet.b
McAfee -
McAfee (BETA) -
McAfee (Online) Artemis!4589EF6876E9 (trojan)
McAfee GW Edition Artemis!4589EF6876E9
Microsoft Trojan:Win32/Stuxnet.B
Norman W32/Smalltroj.ZGEP (trojan)
Panda Generic Trojan
Panda (Online) Generic Trojan
PC Tools Trojan.Generic
QuickHeal -
Rising Trojan.Win32.Generic.520905F2
Sophos -
Spybot S&D -
Sunbelt Trojan.Win32.Generic!BT
Symantec Trojan Horse
Symantec (BETA) Trojan Horse
Symantec (Online) Trojan Horse
Trend Micro WORM_STUXNET.A
Trend Micro (Cons.) WORM_STUXNET.A
Trend Micro (CPR) WORM_STUXNET.A
VBA32 Malware-Cryptor.Win32.Inject.gen.2
VirusBuster Trojan.DR.Stuxnet.B (trojan)
Webroot -

Die auf dem System dann installierten Rootkit-Dateien werden wie folgt erkannt:

Scan report of: mrxcls.sys
AntiVir RKIT/Stuxnet.A.1
Authentium -
Avast -
AVG Rootkit-Pakes.AG (Trojan horse)
BitDefender Rootkit.Stuxnet.A
ClamAV -
Dr.Web Trojan.Siggen.64469
Eset Nod32 -
Fortinet -
Fortinet (BETA) -
F-Prot -
F-Secure -
G Data Rootkit.Stuxnet.A
Ikarus -
ISS VPS -
K7 Computing -
Kaspersky Rootkit.Win32.Stuxnet.a
Kaspersky (Cons.) Rootkit.Win32.Stuxnet.a
Kaspersky (Online) Rootkit.Win32.Stuxnet.a
McAfee -
McAfee (BETA) Generic Rootkit.d (trojan)
McAfee (Online) -
McAfee GW Edition -
Microsoft Trojan:WinNT/Stuxnet.A
Norman W32/Stuxnet.D (trojan)
Panda -
Panda (Online) -
PC Tools Malware.Temphid
QuickHeal Rootkit.Stuxnet.a
Rising Trojan.Win32.Generic.5219E5E4
Sophos -
Spybot S&D -
Sunbelt -
Symantec W32.Temphid
Symantec (BETA) W32.Temphid
Symantec (Online) W32.Temphid
Trend Micro RTKT_STUXNET.A
Trend Micro (Cons.) RTKT_STUXNET.A
Trend Micro (CPR) RTKT_STUXNET.A
VBA32 Rookit.TmpHider.2
VirusBuster -
Webroot -

Scan report of: mrxnet.sys
AntiVir RKIT/Stuxnet.A
Authentium -
Avast -
AVG Rootkit-Pakes.AF (Trojan horse)
BitDefender Rootkit.Stuxnet.A
ClamAV -
Dr.Web Trojan.Siggen.64469
Eset Nod32 Win32/Rootkit.Agent.NTK trojan
Fortinet -
Fortinet (BETA) -
F-Prot -
F-Secure -
G Data Rootkit.Stuxnet.A
Ikarus -
ISS VPS -
K7 Computing -
Kaspersky Rootkit.Win32.Stuxnet.b
Kaspersky (Cons.) Rootkit.Win32.Stuxnet.b
Kaspersky (Online) Rootkit.Win32.Stuxnet.b
McAfee -
McAfee (BETA) Generic Rootkit.d (trojan)
McAfee (Online) Artemis!CC1DB5360109 (trojan)
McAfee GW Edition Artemis!CC1DB5360109
Microsoft Trojan:WinNT/Stuxnet.B
Norman W32/Stuxnet.E (trojan)
Panda -
Panda (Online) -
PC Tools Malware.Temphid
QuickHeal -
Rising -
Sophos -
Spybot S&D -
Sunbelt -
Symantec W32.Temphid
Symantec (BETA) W32.Temphid
Symantec (Online) W32.Temphid
Trend Micro RTKT_STUXNET.A
Trend Micro (Cons.) RTKT_STUXNET.A
Trend Micro (CPR) RTKT_STUXNET.A
VBA32 Rootkit.TmpHider
VirusBuster -
Webroot -