Die Autoren des Trojaners SpamThru – auch bekannt unter einer ganzen Reihe anderer kryptischer Namen – haben einen neuen Kniff gefunden, um einen eroberten Rechner nicht mit anderen Übeltätern teilen zu müssen. Wie eine ausführliche Analyse von SecureWorks zeigt, lädt SpamThru beim Start eine DLL von einem zentralen Control Server herunter. Diese wiederum besorgt sich eine Raubkopie des Virenscanners Kaspersky AntiVirus for WinGate und installiert sie in ein verstecktes Verzeichnis. Nach dem Patchen der Lizenzabfrage und einer zehnminütigen Pause beginnt dann der Virenscanner die Nebenbuhler zu eliminieren. Die SpamThru-Dateien werden dabei übersprungen. In der Vergangenheit gab es schon einige Malware, die versuchte, Rivalen – die den selben Rechern erobert hatten – zu deaktivieren oder zu löschen. Dass SpamThru nun aber die Waffen eines Virenscanners missbraucht, ist neu. [Quelle:heise online]
SpamThru dient als Bot-Netz zum Verteilen von Spam-Mails, kann diese jedoch auch selbst generieren.
Name Troj/SpamThru-C
Typ
* Trojaner
Anfällige Betriebssysteme
* Windows
Nebeneffekte
* Ermöglicht Dritten den Zugriff auf den Computer
* Verwendet seine eigene E-Mail-Engine
* Installiert sich in der Registrierung
* Wird von Malware abgelegt
Alias
* Backdoor.Win32.Agent.uu
* Spam-DComServ
Troj/SpamThru-C ist ein Trojaner für die Windows-Plattform.
Troj/SpamThru-C kann von einem remoten Benutzer zum Versenden unerwünschter Werbe-E-Mails verwendet werden.
Troj/SpamThru-C erstellt die folgenden Registrierungseinträge:
HKCRCLSID{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}InProcServer32
<Standard>
<Pfad zum DLL des Trojaners>
HKCRCLSID{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}InProcServer32
ThreadingModel
Apartment
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}
DCOM Server
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
DCOM Server
{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}
Mein Kommentar:
Schade das Kaspersky Spamthru nicht erkennt..
:lach
SpamThru dient als Bot-Netz zum Verteilen von Spam-Mails, kann diese jedoch auch selbst generieren.
Name Troj/SpamThru-C
Typ
* Trojaner
Anfällige Betriebssysteme
* Windows
Nebeneffekte
* Ermöglicht Dritten den Zugriff auf den Computer
* Verwendet seine eigene E-Mail-Engine
* Installiert sich in der Registrierung
* Wird von Malware abgelegt
Alias
* Backdoor.Win32.Agent.uu
* Spam-DComServ
Troj/SpamThru-C ist ein Trojaner für die Windows-Plattform.
Troj/SpamThru-C kann von einem remoten Benutzer zum Versenden unerwünschter Werbe-E-Mails verwendet werden.
Troj/SpamThru-C erstellt die folgenden Registrierungseinträge:
HKCRCLSID{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}InProcServer32
<Standard>
<Pfad zum DLL des Trojaners>
HKCRCLSID{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}InProcServer32
ThreadingModel
Apartment
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}
DCOM Server
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
DCOM Server
{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}
Mein Kommentar:
Schade das Kaspersky Spamthru nicht erkennt..
