Die Malware Nodersok hat seit Juli 2019 bereits tausende Systeme in Europa und den USA befallen. Nun warnt Microsoft die Windows-Nutzer vor der Schadsoftware.

Das Wichtigste in Kürze

  • Die Schadsoftware Nodersok hat seit Mitte Juli mehrere tausend Windows-Computer aus den USA und Europa befallen.
  • Bereits mit einem einfachen Klick auf eine präparierte Werbeanzeige können Geräte infiziert werden.
  • Welchen Zweck Nodersok verfolgt, kann zurzeit nur vermutet werden.
  • Aktuelle Virenprogramme sollten in der Lage sein, Nodersok zu erkennen und entfernen.

Tausende Windows-Computer sind bereits betroffen

Mitte Juli hat Microsoft die Malware Nodersok erstmals entdeckt. Seit dann wurden bereits mehrere tausend Windows-Computer infiziert.

Seit dem 10. September sind die Angriffe zwar rückläufig, Sicherheitsexperten der Firma Cisco gehen jedoch davon aus, dass sich die Schadsoftware erst in der Entwicklungsphase befindet und ein erneuter Anstieg der Infektionen daher durchaus denkbar ist.

Die Schadsoftware befällt aktuell vor allem Geräte aus den USA und Europa. Ziel der Angriffe sind zurzeit mehrheitlich Endverbraucher. Rund 3 Prozent der Angriffe betreffen Organisationen.

Ein einfacher Klick reicht für eine Infektion

Eine Infektion können sich Nutzer bereits mit einem simplen Klick auf eine präparierte Werbeanzeige einfangen. Des Weiteren können sich Nutzer durch das Herunterladen und Öffnen einer manipulierten Datei infizieren.

Bei Nodersok handelt es sich um einen sogenannten «Fileless»-Schädling. Während gängige Schadprogramme sich in Dateien auf dem Computer verstecken und so von Antivirenprogrammen aufgespürt werden, nistet sich Nodersok im Arbeitsspeicher ein. Dadurch ist die Malware nur anhand ihres Verhaltens und für Antivirenprogramme nur schwierig erkennbar.

Sobald sich Nodersok auf dem Computer befindet, lädt er weiteren Schadcode nach. Dieser versucht anschliessend Windows-Schutzmechanismen ausser Kraft zu setzen, Befehle auszuführen und das System zu kontrollieren.

Das Ziel der Nodersok-Betreiber ist unklar

Bisher ist noch unklar, welches Ziel Nodersok genau verfolgt. Vermutlich bezweckt er die Errichtung eines Botnetzes. (Was ein Botnetz genau ist und wie es funktioniert, erfahren Sie in unserem Blogartikel Botnet – Wenn Computer und Mobilgeräte plötzlich kriminell werden).

Die infizierten Geräte dienen dabei vorgängig der Verbreitung der Schadsoftware. Das errichtete Botnetz soll dann gemäss Sicherheitsexperten der Firma Cisco vermutlich für Klickbetrug verwendet werden. Demnach würden die infizierten Computer dafür missbraucht werden, möglichst viele automatisierte Klicks auf Werbeanzeigen zu generieren, womit die Betreiber des Botnetzes Geld verdienen könnten.

Es ist ebenso nicht auszuschliessen, dass Nodersok langfristig auch dazu missbraucht wird, weitere Schadsoftware wie beispielsweise Banking-Trojaner oder Verschlüsselungstrojaner nachzuladen.

Aktuelle Antivirenprogramme schaffen Abhilfe

Microsoft liess verlauten, dass die Schutzsoftware «Microsoft Defender ATP» in der Lage ist Nodersok zu erkennen und davor zu schützen. Bei dieser Schutzsoftware handelt es sich jedoch nicht um einen Bestandteil des «Windows Defender», der auf normalen Windows-Systemen verfügbar ist, sondern um einen Zusatzschutz für Unternehmen. Nichtsdestotrotz fliessen die Erkenntnisse des «Microsoft Defender ATP» aber wohl auch in den gängigen «Windows Defender» ein. Falls kein anderes Virenprogramm vorhanden ist, lohnt es sich also auf jeden Fall, den «Windows Defender» zu aktivieren.

Gemäss Einschätzung des Windows-Sicherheitsexperten Andreas Marx können jedoch auch alle anderen aktuellen Virenprogramme die Schadsoftware Nodersok erkennen und entfernen. Falls Sie also befürchten, dass Ihr Computer bereits infiziert ist, empfiehlt es sich, einen Virenscan durchzuführen.

Empfohlene Links zu diesem Thema