Trojaner installiert eigene Antiviren-Lösung

EnterpriseSicherheit

Die Methoden, mit denen die Autoren von Viren ihre Kreationen vor ungewolltem Zugriff und Konkurrenten schützen, werden immer ausgefeilter.

Laut Informationen des amerikanischen Sicherheits-Providers SecureWorks installiert ein Trojaner eine Antivieren-Software, um sich so die lästige Konkurrenz vom Hals zu schaffen.

Der Trojaner ‘SpamThru’ nutzt dabei eine Raubkopie von Kasperskys AntiVirus. Dieses Programm kopiert der Trojaner in eine verborgene Datei auf dem befallenen PC. Anschließend skannt die illegale Antiviren-Lösung den Rechner nach Konkurrenten, die gegebenenfalls Ressourcen des Rechners für sich beanspruchen könnten.

Zehn Minuten nachdem der Rechner hochgefahren ist, beginnt der Trojaner nach anderen Schadprogrammen zu fahnden. Traditionell blockieren Trojaner und andere Schädlinge Antivierenlösungen, so dass diese keine Updates mehr emfpangen können. So bleibt die Malware unentdeckt.

Doch SpamThru setzt weitere neue Maßstäbe. So wird der Schädling nicht über einen Internet Relay Chat (IRC) gesteuert, sondern mit einer Peer-to-Peer-Steuerung. Damit ist der Trojaner auch dann noch ansprechbar, wenn ein Großteil der Schadprogramme in einem Netzwerk bereits eleminiert ist. So kann der Autor auch dann, wenn der ursprüngliche Kontroll-Server vom Netz genommen ist, wieder alle Trojaner steuern, vorausgesetzt, er kann auf mindestens einen Peer zugreifen.