Download-Manager für Trojaner

Der beliebte kostenlose Download-Manager FlashGet für Windows betätigte sich seit Ende Februar offenbar als Trojan-Downloader. In den vergangenen Tagen habe AV-Hersteller Kaspersky vermehrt Hinweise von Nutzern bekommen, dass Antiviren-Software Trojaner in ihren FlashGet-Verzeichnissen gefunden habe.

Im Analyst's Diary auf Viruslist.com berichten die Virenexperten, dass sie in den FlashGet-Verzeichnissen betroffener Rechner Dateien namens inapp4.exe, inapp5.exe und inapp6.exe entdeckten, die Kaspersky Anti-Virus als Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezxo und Trojan-Downloader.Win32.Agent.kht identifiziert. Darüber hinaus wurden der FlashGet-Konfigurationsdatei FGUpdate3.ini Zeilen hinzugefügt, die den Download-Manager veranlasste, die Datei inapp4.exe direkt von der Hersteller-Webseite (http://dl.flashget.com/flashget) herunterzuladen.

Laut Viruslist sind die ersten PCs am 29. Februar infiziert worden, die letzten am 9. März. Zehn Tage lang habe FlashGet Schadcode von der Herstellerseite heruntergeladen und auf den Rechnern der Nutzer installiert, ohne dass es der Hersteller gemerkt habe. Inzwischen seien die Dateien von der Herstellerseite entfernt und FGUpdate3.ini in den Originalzustand zurückversetzt worden. Auf der FlashGet-Webseite gab es lediglich im User-Forum Hinweise auf den Zwischenfall. Der Anbieter bewirbt sein Programm weiterhin als "100 % Clean, free".

Offenbar sei es jemandem gelungen, die Hersteller-Webseite zu hacken und den Code einzuschmuggeln, so Kasperskys Virenexperten. Tatsächlich reiche es, FGUpdate3.ini einen beliebigen Link hinzuzufügen, schon lade FlashGet die angegebene Datei automatisch bei jedem Start herunter. Das Problem bestehe bei allen FlashGet-Versionen 1.9.xx. Ein Schadprogramm könne auch weiterhin die Konfigurationsdatei modifizieren und den Download-Manager als Trojan-Downloader missbrauchen. Anwender des Download-Managers sollten auf jeden Fall einen Blick in die Datei FGUpdate3.ini werfen und einen Virenscan durchführen. (vza)