Trojaner nutzen Tarnfunktion von Sonys Kopierschutz aus

Sicherheits-Spezialisten haben die ersten digitalen Schädlinge im Zusammenhang mit der Rootkit-Technologie von Sony BMG entdeckt. Diese XCP (Extended Copy Protection) genannte Software steht zurzeit in der Kritik, weil sie selbst wie eine Art Computervirus arbeitet und sich vom Nutzer unbemerkt tief im Betriebssystem einnistet. Experten haben außerdem davor gewarnt, dass Schadprogramme sich über die Versteckfunktion des Kopierschutzes auf fremden Rechnern installieren können.

Solche Schadprogramme sind jetzt erstmals gesichtet worden: Das Security-Response-Team von Symantec teilte beispielsweise heute mit, das Trojanische Pferd Backdoor.Ryknos sowie eine zweite Variante Backdoor.Ryknos.B gesichtet zu haben. Beide Schädlinge verbreiteten sich über Spam-Mails und enthielten eine Bot-Funktionalität, durch die Verbindungen zu unterschiedlichen IRC-Kanälen (Internet Relay Chat) aufgebaut werden können. Die entsprechende Spam-Mail besitze in vielen Fällen den Hinweis auf einen Presseartikel sowie einen Anhang, der als Pressefoto deklariert sei. Öffnet der Nutzer dieses Foto, werde der Trojaner installiert. Auf infizierten Systemen kann der Trojaner sensible Informationen des gefährdeten Computers senden, wie zum Beispiel den Rechner- und Benutzernamen, Informationen über das Betriebssystem und die IP-Adresse. Außerdem kann er automatisiert Dateien herunterladen und ausführen.

"Mit der Veränderung in der Bedrohungslandschaft sieht Symantec eine alarmierende Zunahme an Cyber-Kriminalität", sagt Candid Wüest, Virenanalyst bei Symantec Security Response. "Zwar ist Backdoor.Ryknos der erste Trojaner seiner Art, seine Funktionsweise ist jedoch nicht neu. Diese basiert auf einer bekannten Bedrohung, genannt IRC-Bot, die sich mit einem von vier IRC-Servern verbindet und auf Befehle des Angreifers wartet. Indem es Backdoor.Ryknos gelingt, einen infizierten Rechner aus der Ferne zu steuern, wird der Weg geebnet, die Identität sowie den Rechner des Nutzers für bösartige Angriffe zu nutzen."

Symantec rät daher allen Internetnutzern, diesen Dateianhang auf keinen Fall zu öffnen. Betroffen seien die Betriebssysteme Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Nicht betroffen sind DOS, Linux, Macintosh, OS/2, UNIX. Ein Removal Tool bietet Symantec Security Response zum Download an.