Microsoft heeft tijdens de patchdinsdag van januari detectie voor een USB-worm aan de in Windows ingebouwde verwijdertool toegevoegd. Het gaat om de Ganelp-worm, die al sinds begin 2011 actief is. De malware verspreidt zich via USB-sticks, steelt gegevens en downloadt willekeurige bestanden van FTP-servers. Microsoft detecteerde de worm al twee jaar, maar toch weet die zich steeds actiever te verspreiden.

Reden voor de softwaregigant om detectie van Ganelp aan de Malicious Software Removal Tool (MSRT) in Windows toe te voegen. Naast het verspreiden via USB doen varianten van Ganelp zich op internet voor als valse Java-updates.

Icoon
Eenmaal actief zoekt de worm naar op de computer aangesloten USB-sticks. Daar wordt een kopie op geplaatst, met als naam een directory die het op de besmette computer heeft gevonden. Om het uitvoerbare bestand dat de worm is te vermommen, gebruikt Ganelp een icoontje van een map.

Aangezien de extensie van bestanden niet standaard in Windows wordt weergegeven, kan een gebruiker denken dat het om een map gaat. Zodra de USB-stick naar een andere computer wordt meegenomen en de gebruiker de map wil openen, infecteert hij in werkelijkheid de andere computer.