zurück zum Artikel

Ein Trojaner namens SpamThru bekämpft seine Malware-Kollegen mit Hilfe eines Virenscanners.

Die Autoren des Trojaners [1] SpamThru – auch bekannt unter einer ganzen Reihe anderer kryptischer Namen – haben einen neuen Kniff gefunden, um einen eroberten Rechner nicht mit anderen Übeltätern teilen zu müssen. Wie eine ausführliche Analyse [2] von SecureWorks [3] zeigt, lädt SpamThru beim Start eine DLL [4] von einem zentralen Control Server [5] herunter. Diese wiederum besorgt sich eine Raubkopie des Virenscanners Kaspersky AntiVirus for WinGate [6] und installiert sie in ein verstecktes Verzeichnis. Nach dem Patchen [7] der Lizenzabfrage und einer zehnminütigen Pause beginnt dann der Virenscanner die Nebenbuhler zu eliminieren. Die SpamThru-Dateien werden dabei übersprungen. In der Vergangenheit gab es schon einige Malware, die versuchte, Rivalen – die den selben Rechern erobert hatten – zu deaktivieren oder zu löschen. Dass SpamThru nun aber die Waffen eines Virenscanners missbraucht, ist neu.

SpamThru dient als Bot-Netz zum Verteilen von Spam [8]-Mails, kann diese jedoch auch selbst generieren. (bbe [9])

URL dieses Artikels:
https://www.heise.de/-174549

Links in diesem Artikel:
[1] http://www.heise.de/glossar/entry/Trojanisches-Pferd-395498.html
[2] http://www.secureworks.com/analysis/spamthru/
[3] http://www.secureworks.com/
[4] http://www.heise.de/glossar/entry/Dynamic-Link-Library-396897.html
[5] http://www.heise.de/glossar/entry/Server-399357.html
[6] http://www.wingate.com/product-antivirus.php
[7] http://www.heise.de/glossar/entry/Patch-395546.html
[8] http://www.heise.de/glossar/entry/Spam-399505.html
[9] mailto:bbe@ct.de

Copyright © 2006 Heise Medien