Trojaner steht im Zusammenhang mit der First 4 DRM-Technologie von Sony

Trojaner verbreitet sich über Spam-Mails und enthält eine Bot-Funktionalität

(15.11.05) - Symantec hat den ersten Trojaner entdeckt, der im Zusammenhang mit der First 4 DRM-Technologie von Sony steht, welche sich installiert, wenn kopiergeschützte CDs von BMG abgespielt werden. Der Trojaner Backdoor.Ryknos sowie eine zweite Variante Backdoor.Ryknos.B wurden in die Kategorie 2 (von 5 Gefahrenstufen, wobei 5 die höchste ist) eingestuft und nutzt dieses Sicherheitsrisiko, um sich auf dem betroffenen Rechner zu verstecken.

Der Trojaner verbreitet sich über Spam-Mails und enthält eine Bot-Funktionalität, durch die Verbindungen zu unterschiedlichen IRC-Kanälen (Internet Relay Chat) aufgebaut werden können. Die entsprechende Spam-Mail enthält in vielen Fällen den Hinweis auf einen Presseartikel sowie einen Anhang, der als Pressefoto deklariert ist. Öffnet der Nutzer dieses Foto, wird der Trojaner installiert.

Betroffen sind die Betriebssysteme Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Nicht betroffen sind DOS, Linux, Macintosh, OS/2, Unix

Ist Backdoor.Ryknos einmal installiert, weist er folgende Eigenschaften auf:

· Der Trojaner installiert sich als Datei unter dem Namen "%System%/$sys$drv.exe“. Diese Datei wird versteckt gehalten, wenn „SecurityRisk.First4DRM” bereits auf dem Rechner vorhanden ist.

· Backdoor.Ryknos versucht, eine Nachricht an vorher bestimmte IP-Adressen zu schicken und nutzt dazu den Port TCP 8080 (der standardmäßig zur Internet-Kommunikation über Proxies genutzt wird).

· Er versucht, sich als vertrauenswürdige Applikation an die Windows Firewall anzuhängen.

· Backdoor.Ryknos öffnet eine Hintertür und koppelt sich an einen vorbestimmten IRC Kanal. Dies ermöglicht ihm folgende Aktionen:

· Er kann sensible Informationen des gefährdeten Computers senden, wie zum Beispiel den Rechner- und Benutzernamen, Informationen über das

· Betriebssystem und die IP-Adresse.

· Backdoor.Ryknos kann zudem automatisiert Dateien herunterladen und ausführen.

"Mit der Veränderung in der Bedrohungslandschaft sieht Symantec eine alarmierende Zunahme an Cyber-Kriminalität", sagt Candid Wüest, Virenanalyst bei Symantec Security Response. "Zwar ist Backdoor.Ryknos der erste Trojaner seiner Art, seine Funktionsweise ist jedoch nicht neu. Diese basiert auf einer bekannten Bedrohung, genannt IRC-Bot, die sich mit einem von vier IRC-Servern verbindet und auf Befehle des Angreifers wartet. Indem es Backdoor.Ryknos gelingt, einen infizierten Rechner aus der Ferne zu steuern, wird der Weg geebnet, die Identität sowie den Rechner des Nutzers für bösartige Angriffe zu nutzen." (Symantec: ra)