Trojaner als Video-Datei
Weltweit sind bisher angeblich etwa 2000 Computer betroffen.
Das Programm ist als AVI-Datei getarnt. Bei Aufruf der vermeintlichen Videodatei entpackt sich das Programm und installiert sich selbst.
Nach dem Computerneustart benennt sich das trojanische Pferd um, ändert die Dateien system.ini, win.ini und die Windows-Registry und stellt die Verbindung zu einem modifizierten IRC-Server her. Diesem übermittelt das Backdoor-Programm die IP-Adresse des attackierten Computers und wartet auf weitere Instruktionen.
Trojanische Pferde erlauben, sobald sie installiert sind, die Fernsteuerung des betroffenen Computers.
Entdeckt wurde die Software von der US-amerikanischen Firma Network Security Technologies. Berichten des Unternehmens zufolge handelt es sich um eine Variante des älteren trojanischen Pferdes "BackdoorSubSeven".
Analyse von Network Security TechnologiesGefahr von "Denial-of-Service"-Attacken
Network Associates hat das Risiko dieses als "Serbian Badman Trojan" bezeichneten Programms als "gering" angegeben.
Network Security Technologies sieht aber die Gefahr eines "Denial-of-Service"-Angriffs, vergleichbar mit den Attacken auf Yahoo, eBay, Amazon, etc. im Februar dieses Jahres.
Die Sicherheitsfirma Command Systems wiederum berichtete von einem ähnlichen oder sogar gleichen Programm. Diesen Angaben nach erfolgt die Infektion in zwei Schritten.
Zuerst müssen die Betroffenen eine Video-Datei starten [Verbreitung zum Beispiel als E-Mail-Attachement], die in Wirklichkeit ein Download-Programm ist. Erst dann wird das eigentliche trojanische Pferd auf den Computer geladen.
Auch Command Systems schätzt das Risiko als gering ein und vertraut herkömmlichen Virus-Scan-Programmen.