Tipp

Trojaner nutzt "Rootkit-Funktionen" in Sonys Kopierschutz aus

Shawn H Shawn H

Verschiedene Virenschutzexperten warnen vor einem Backdoor-Trojaner, welcher sich eine neuerdings von der Plattenfirma Sony BMG für den Kopierschutz eingesetzte Technik zu Nutze macht, um unerkannt zu bleiben.

Die Sicherheitsfachleute von Kaspersky Lab, H+BEDV und Bit Defender melden die Entdeckung des ersten Schadprogramms, welches zu seiner Tarnung die "Rootkit-Funktionen" in Sonys Kopierschutz nutzt. Wie Anfang des Monats bekannt wurde, verwendet Sony BMG auf einzelnen seiner mittels Digital Rights Management (DRM) geschützten CDs die Kopierschutz-Software XCP (eXtended Copy Protection), welche Rootkit-Technologien nachbildet. Das erst kürzlich in den Markt eingeführte XCP war in den letzten Tagen verstärkt in der Presse kritisiert worden, weil sie eine versteckte Kopierschutz-Software auf den PC installiert, sobald bestimmte AudioCDs in den PC eingelegt werden. Gerät der jetzt entdeckte Trojaner, welcher wahlweise mit Ryknos.A oder "Backdoor.Win32.Breplibot.b" bezeichnet wird, bei seiner Verbreitung an Rechner, die diese Software installiert haben, kann er sich auf dem betroffenen Windows-System verstecken. Für den Anwender ist er damit nicht sichtbar und bleibt unbemerkt auf dem System.

Der Schädling wurde den Angaben zufolge mittels Massenversand verbreitet und nutzt die üblichen Social Engineering-Methoden: Empfänger sollen die angehängte, vermeintliche Foto-Datei öffnen. Durch das Öffnen dieser Datei wird ein Schadcode auf das Computersystem übertragen. Breplibot.b ist eine Datei mit einer Größe von 10240 Byte, die mit UPX gepackt ist. Beim Start kopiert sich der Schadcode unter dem Namen "$SYS$DRV.EXE" in das Windows-Systemverzeichnis. Sollte die Kopierschutz-Software XCP auf dem Rechner installiert und aktiv sein, wird der Trojaner von der Software versteckt gehalten. Grundsätzlich verbirgt die Software sämtliche Dateien und Prozesse vor dem Anwender, die mit dem Kürzel "$sys$" beginnen, und weist somit Rootkit-Technologie auf. Außerdem ist der Trojaner aus seinem Versteck heraus in der Lage, Verbindungen zu unterschiedlichen IRC Servern aufzubauen.

Die Sicherheitslabors raten in Anbetracht des neuen Backdoor-Trojaners einmal mehr, E-Mails unbekannter Absender sowie an verdächtige E-Mails angehängte Objekte nicht zu öffnen.

Neueste Artikel

Software aus dem Artikel

Protected Music Converter

Geschützte Musik in ungeschützte Audioformate umwandeln

Protected Music Converter
Hersteller:
Lizenzart:
Shareware
System:
Win 7, XP, Server 2003, Vista, Server 2008, Win 8, Windows 10
Sprache:
Englisch
Version:
1.9.7.5
Leserwertung:
4.36/5