Auf ein Executeable namens Web Helper.exe, das von Nvidia-Treibern mitinstalliert wird, ist René Freingruber von SEC Consult Vulnerability Lab auf einem Windows-System eher zufällig gestoßen. Es handelt sich dabei um einen umbenannten Node.js-Server. Diese Anwendung dürfte als Teil des Grafiktreibers von Sicherungsmechanismen des Betriebssystems unberührt bleiben.

Allerdings eignet sich Node.js als Anwendungsserver für weiteren Schadcode als Einfallstor. Um Sicherungsmechanismen des Betriebssystems zu deaktivieren, könne der Server genutzt werden, da node.js Zugriff auf das Windows API hat. Der Server ließe sich auch direkt als Laufzeitumgebung für Schadcode nutzen.

In einem Blog-Beitrag führt Freingruber ausführlich verschiedene Möglichkeiten auf, wie sich der Server starten und fernsteuern lässt.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE