Vorsicht mit USB-Geräten: Neuer Virus verbreitet sich offline auf Windows-PCs

Ein wurmatiger Virus verbreitet sich seit einiger Zeit offline auf Windows-PCs. Forscher einer Sicherheitsfirma klären, was es damit auf sich hat und wie er arbeitet.

von Kay Nordenbrock,
09.05.2022 10:57 Uhr

Der Virus wurde Raspberry Robin getauft und verbreite sich offline auf PCs, die ein infiziertes USB-Gertät verwenden. Der Virus wurde Raspberry Robin getauft und verbreite sich offline auf PCs, die ein infiziertes USB-Gertät verwenden.

Momentan macht sich ein neuer Virus auf Windows-PCs breit. Dieser kann sich offline via USB-Sticks verbreiten und setzt sich dann im System fest. Dazu hat er wurmartige Fähigkeiten. Das bedeutet, er kann sich selbst replizieren und vermehrt sich dadurch im Netzwerk. 

Diese Erkenntnisse gehen aus einem Report der Sicherheitsfirma Red Canary (via Bleeping Computer) hervor. Das Unternehmen hat der Virus schon länger auf dem Schirm, nachdem es das bei einigen ihrer Kunden im System entdeckt hat. Sie haben die Malware Raspberry Robin genannt. 

Ob so ein Virus unter anderem auch eurer Hardware schaden könnte, besprechen wir derweil in diesem Artikel: 

Können Programme und Viren eure Hardware zerstören?   54     12

Gefahr für den PC:

Können Programme und Viren eure Hardware zerstören?

So funktioniert der wurmartige Virus

Wenn eine bereits infizierte USB-Festplatte oder ein USB-Stick in einen Windows-PC eingesteckt wird, führt dieser eine cmd.exe aus. Mit dem Microsoft-Standard-Installer versucht er dann, einen Command-and-Control-Server zu kontaktieren. Dieser soll, wie der Name bereits vermuten lässt, mithilfe von bestimmten Kommandos Aspekte des infizierten PCs kontrollieren. 

Dazu nehmen die Forscher von Red Canary an, dass Raspberry Robin außerdem eine bösartige DLL-Datei auf dem PC installiert. Diese soll dazu dienen, den Virus längerfristig auf dem Rechner festzusetzen, sodass er bei einem Neustart des PCs nicht direkt gelöscht wird, vermuten die Wissenschaftler.

Laut Bleeping Computer installiert er diese DLL mithilfe zwei eigentlich legitimer Windows-Programme: fodhelper und odbcconf. Ersteres umgeht dabei die Benutzerkontensteuerung (UAC), während das zweite Programm die Datei ausführt und konfiguriert. In diesem Flowchart von Red Canary seht ihr den Ablauf der Virusinfektion: 

So läuft Infektion durch das Virus ab. Quelle: Red Canary So läuft Infektion durch das Virus ab. Quelle: Red Canary

Ziel des neuartigen Virus ist unklar 

Obwohl die Forscher der Sicherheitsfirma schon viel über das Virus herausfinden konnten, sind einige Punkte noch unklar. Sie wissen zum Beispiel noch nicht, wie die USB-Geräte überhaupt mit dem Virus infiziert werden. Einer der Forsche sagte dazu: 

Zuallererst wissen wir nicht, wie oder wo Raspberry Robin externe Laufwerke infiziert, um seine Aktivität aufrechtzuerhalten, weil dies wahrscheinlich offline oder außerhalb unserer Sichtbarkeit geschieht.

Dazu ist momentan auch noch unklar, was überhaupt das Ziel der Malware ist beziehungsweise was die Schöpfer des Virus damit vorhaben. Bisher wurde das Computervirus hauptsächlich bei Unternehmen im Technologie- und Produktionssektor gefunden. 

Bereits 2018 gab es einen anderen Virus, der über Whatsapp verbreitet wurde. Dieser stellte sich aber wohl als Falschmeldung heraus:

Whatsapp-Virus "Martinelli" - Laut spanischer Polizei ein Fake

Habt ihr euch schon mal einen Virus auf eurem PC eingefangen? Hat dieser bleibende Schäden hinterlassen? Lasst es uns gerne wissen.

zu den Kommentaren (61)

Kommentare(61)

Nur angemeldete Benutzer können kommentieren und bewerten.