Der Verschlüsselungstrojaner qkG (RANSOM_CRYPTOQKG.A) hat jetzt einen neuen Ansatz, um sich zu verbreiten. Dafür benutzt er das Template für ein Microsoft Word Dokument und manipuliert dieses. Laut den Sicherheitsforschern von Trend Micro werden künftig alle neu erzeugten Word-Dokumente die Ransomware beinhalten.

Noch soll sich qkG in der Entwicklung befinden. Trend Micro zufolge ist der Trojaner aber noch nicht in der freien Wildbahn. Außerdem soll er derzeit nur Word-Dateien verschlüsseln und der Schlüssel zum decodieren ist wohl noch fest eingebaut.

Die Word-Dokumente werden, wie bei vielen anderen Erpressungstrojanern, über die Makros infiziert. Dafür muss das Opfer die Ausführung von Makros erlauben. Das Skript in den Makros bringt den Trojaner gleich mit und muss ihn somit nicht erst herunterladen. Sobald das Dokument vom Opfer geschlossen wird, fängt qkG mit dem eigentlichen Schadenswerk an. Dafür benutzt er die onClose-Funktion von Word. Anschließend werden die Sicherheitseinstellungen von Word zurückgesetzt und die automatische Ausführung von Makros erlaubt. Laut den Sicherheitsforschern wird anschließend der Schadcode in Form von Makros in das Word-Template normal.dot eingeschleußt.

Wird dann über das manipulierte Template ein neues Dokument erzeugt und verschickt, bekommt der Empfänger den Schädling gleich mit serviert und das Spiel beginnt von vorne.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE