Neuer Trojaner tarnt sich als Symantec-Update

Der als Sdbot.18976 bezeichnete Schädling gibt vor, ein Update für Norton Antivirus zu sein -- nach dem Ausführen des Attachments öffnet sich in Wahrheit eine Hintertür ins System.

Der neue Schädling ist eine Variante der bekannten Sdbot-Trojaner. Ist er in einem System eingenistet, baut er eine Verbindung zu einem russischen IRC-Server auf und nimmt von dort Befehle entgegen. Über diese Hintertür können Angreifer Systeminformationen abrufen, Programme aus dem Internet herunterladen und starten sowie Denial-of-Service-Angriffe ausführen. Der Schädling schreibt sich unter dem Namen RPCX1sq23.exe in das Windows-Systemverzeichnis. Antiviren-Unternehmen haben inzwischen ihre Signaturdateien aktualisiert, so dass Virenscanner den Schädling erkennen und entfernen sollten. Momentan verbreitet sich der Schädling nicht sonderlich stark, bislang traten infizierte Mails nur vereinzelt auf.

Grundsätzlich sollten keine Attachments aus unangeforderten Mails gestartet werden. Sicherheitsunternehmen wie Symantec stellen ihre Software-Updates stets über Webseiten bereit; E-Mails mit vermeintlichen Updates -- egal ob von Microsoft oder Antiviren-Unternehmen wie Symantec sind immer Fälschungen und enthalten oft Würmer oder Trojanische Pferde. Weitere Hinweise zu Schädlingen finden Sie auf den Antiviren-Seiten von heise security. (pab)