Exploit-Kit meidet Rechner mit Sicherheits-Tools

Mit seinem Doppel-Patchday im März schloss Microsoft auch eine eher unscheinbar daherkommende Sicherheitslücke in Windows. Die Lücke mit dem Bezeichner CVE-2017-0022 erlaubt es bösartigen Web-Seiten, zu testen, ob auf dem Rechner eine bestimmte Datei vorhanden ist. Das wird auch „Information Disclosure Vulnerability“ genannt, was auch nicht besonders spektakulär klingt.

Trend Micro zeigt aber, dass etwa das Exploitkit Neutrino diese Lücke ganz gezielt nutzt, um die eventuelle Anwesenheit bestimmter Security-Tools festzustellen. Findet Neutrino eines davon gefunden, bricht es seinen Infektionsversuch ab. Die Kriminellen wollen wohl ihre Malware auf diese Weise vor der Entdeckung schützen.

Leider gibt Trend Micro nicht an, welche Sicherheits-Tools konkret auf dieser Liste stehen, sondern nur, dass es sich vermutlich um solche zur Malwareanalyse handle.

Screenshot: Trend Micro