Erster Trojaner, der Kopierschutz-Software "XCP" ausnutzt

Trojaner baut Verbindungen zu unterschiedlichen IRC Servern auf

(15.11.05) - H+BEDV hat den ersten Trojaner entdeckt, der die Eigenschaften der kommerziellen AudioCD-Kopierschutz-Software "XCP" (eXtended Copy Protection) missbraucht: Gerät der Trojaner namens Ryknos.A bei seiner Verbreitung an Rechner, die diese Software installiert haben, kann er sich auf dem betroffenen Windows-System verstecken. Für den Anwender ist er damit nicht sichtbar und bleibt unbemerkt auf dem System.

Das erst kürzlich in den Markt eingeführte XCP war in den letzten Tagen stärker in die Presse geraten, weil sie eine versteckte Kopierschutz-Software auf den PC installiert, sobald eine AudioCD bestimmten Fabrikats in den PC eingelegt wird. Dieser versteckte Kopierschutz ist, was den Trojaner so gefährlich macht: Sollte der Computeranwender die 10.240 Bytes große Exe-Datei ausführen, kopiert sich TR/IRC.Ryknos.A in das Windows-Systemverzeichnis unter dem Datei-namen "$sys$drv.exe" und legt einen Registry-Eintrag an.

Sollte die Kopierschutz-Software XCP auf dem Rechner installiert und aktiv sein, wird der Trojaner von der Software versteckt gehalten. Grundsätzlich verbirgt die Software sämtliche Dateien und Prozesse vor dem Anwender, die mit dem Kürzel "$sys$" beginnen, und weist somit Rootkit-Technologie auf. Außerdem ist der Trojaner aus seinem Versteck heraus in der Lage, Verbindungen zu unterschiedlichen IRC Servern aufzubauen. (H+BEDV: ra)