Neue Windows-Malware ist auf dem Vormarsch in Europa sowie den USA, warnen aktuell Microsoft und Cisco. Der Computervirus, welcher von Microsoft als Nodersok bezeichnet wird, ist aktiv in Entwicklung und kann vom Windows Defender nicht bzw. nur schwer entdeckt werden.
Grund dafür ist, dass die Attacken in den meisten Fällen schlichtweg ohne Dateien auf dem Computer durchgeführt werden. Man verwendet dafür nämlich das Node.js Framework und WinDivert, wobei es sich um ein Programm zum Abfangen und Umleiten von Paketen im Netzwerk handelt. Die Angreifer nutzen die Geräte mit WinDivert als Proxy, um weitere Maschinen innerhalb eines Firmennetzwerks zu infizieren.
Sowohl Microsoft als auch Cisco haben Analysen der Malware etwa zur gleichen Zeit veröffentlicht. Beide Unternehmen haben festgestellt, dass die Malware sich wohl noch aktiv in Entwicklung befindet und die infizierten Rechner für Klickbetrug genutzt werden. Microsoft teilte mit, dass der Windows Defender Nodersok zwar erkennen und blockieren kann, jedoch die Erkennung der Malware selbst sich außerordentlich schwer gestalten könnte. Genutzt wird nämlich legitime, bestehende Netzwerkinfrastruktur, wodurch der Angriff unter dem Radar des Defenders fliegen könne. Durch das Verhalten der Malware könnte die Malware irgendwann entdeckt werden, meint man bei Microsoft jedenfalls.
Dennoch mahnt der Konzern zur Vorsicht und empfiehlt, HTA-Dateien auf den Systemen nicht auszuführen und generell auf Dateien zu achten, die nicht auf den Computer gehören und deren Ursprung Anwender nicht kennen.
via mspu
