Handy-Schädling springt auf Windows über [Update]

Der Hersteller von Antivirensoftware Trend Micro hat einen Handy-Schädling entdeckt, der nebenbei auch noch Windows-PCs infizieren und zu Zombies umfunktionieren kann. Der Symbos_Cardtrp.A getaufte Schädling ist eigentlich ein Mutterschiff für bereits bekannte Symbian/S60- und Windows-Malware. Einmal auf dem Handy aktiviert, installiert er den seit längerem kursierenden Cabir.A, der im Weiteren versucht, sich per Bluetooth auf Handys in der Nähe zu übertragen.

Obendrein schreibt Cardtrp.A noch die Backdoor Berbew.A und den Wurm Wukill.B auf die Speicherkarte des Handys. Schiebt ein Windows-Anwender die Memory Card später in den Kartenleser seines PCs, so aktiviert die ebenfalls auf die Karte geschriebene autorun.inf die Backdoor -- sofern der Autostart erlaubt ist. In der Folge nimmt der PC Befehle auf den TCP-Ports 7714 und 8546 entgegen, falls ihn keine Firewall daran hindert.

Wie Cardtrp sich verbreitet, erläutert Trend Micros Beschreibung nicht, eine eigene Verbreitungsroutine besitzt er offenbar nicht. Wahrscheinlich verbreitet er sich initial über Web-Seiten oder Filesharing-Netze, wie viele seiner Vorgänger. Nach derzeitigem Kenntnisstand wurde aber bislang noch kein Handy außerhalb von Testumgebungen mit dem Schädling infiziert.

Update
Standardmäßig ignoriert Windows die autorun.inf auf Speicherkarten, sodass die darauf gespeicherten Schädlinge nicht automatisch starten. Allerdings ist nicht ausgeschlossen, dass es einige Konfigurationen gibt, in denen Autorun trotzdem funktioniert. Die gespeicherte Backdoor-Komponenten ist allerdings auf der Karte als SYSTEM.EXE abgelegt und zeigt als Icon einen Ordner an. Ein Anwender könnte beim Versuch die Karte zu untersuchen, versehentlich selbst die Backdoor starten.

Siehe dazu auch: (dab)

• Beschreibung zu SSYMBOS_CARDTRP.A von Trend Micro