Trojaner nutzen Windows-Update-Downloader

Bei der Analyse von Ende März versandten Trojaner-Mails fanden Symantec-Forscher eine neue Methode, die die Schädlinge zum Nachladen weiterer Komponenten nutzten.

In Pocket speichern vorlesen Druckansicht 289 Kommentare lesen
Lesezeit: 1 Min.
Von

Bei der Analyse von Ende März versandten Trojaner-Mails fanden Symantec-Forscher eine neue Methode, die die Schädlinge zum Nachladen weiterer Komponenten nutzen. Der Trojan-Downloader TrojanDownloader:Win32/Jowspry beauftragte den Background Intelligent Transfer Service (BITS, Intelligenter Hintergrundübertragungsdienst), der beispielsweise für den Download von Windows-Updates verantwortlich zeichnet, mit dem Herunterladen weiterer Schadmodule.

Bislang mussten Schädlinge einigen Aufwand betreiben, um der Erkennung durch Personal Firewalls zu entgehen. Einige Trojan-Downloader bestätigten Nachfragen von Firewalls automatisch, steuerten andere Anwendungen wie den Internet Explorer fern oder injizierten eigenen Code in andere, für den Netzzugriff freigegebene Programme. Die Variante, keine eigenen Download-Routinen zu programmieren, sondern in Windows integrierte Mechanismen zur Umgehung der Firewall zu nutzen, ist ein Novum.

Bislang gibt es noch keine Möglichkeit, die Nutzung des Dienstes durch Software von Drittherstellern oder Virenbastlern einzuschränken. Die Sicherheit von Windows-Updates ist dadurch zwar nicht gefährdet, dennoch kann man von einem Design-Fehler sprechen, da sich Anwendungen nicht gegenüber dem Dienst authentifizieren müssen. Die Abschaltung des Dienstes würde das Problem beheben, allerdings funktionieren dann auch die automatischen Updates nicht mehr.

Siehe dazu auch:

(dmk)