zurück zum Artikel

Trojaner Xombe gibt sich als Microsoft-Service-Pack aus

Johannes Schuster

Seit Ende der Woche verbreitet sich per E-Mail ein neuer SchĂ€dling, der sich als Service Pack 1 fĂŒr Windows XP tarnt.

Seit Ende der Woche verbreitet sich per E-Mail ein neuer SchĂ€dling, der sich im Betreff als "Windows XP Service Pack 1 (Express) -- Critical Update" tarnt. In der englischen Nachricht heißt es, dass auf dem Rechner nur eine Beta Version des Service Packs installiert sei, die der EmpfĂ€nger entfernen und das er neu installieren solle. DafĂŒr mĂŒsse er lediglich die als Attachement angehĂ€ngte Datei "winxp_sp1.exe" ausfĂŒhren und einen Neustart machen. Auf dem Rechner befindliche Antiviren-Software solle er wĂ€hrend der Installation deaktivieren.

Sobald das Attachment gestartet wird, versucht Xombe Verbindung mit dem Internet aufzunehmen und die Datei namens BASE.EXE herunter zu laden. Diese installiert wiederum die Datei msvchost.exe im SysDir-Verzeichnis und verÀndert die Registry von Windows.

Im nÀchsten Schritt versucht der Trojaner von der Domain gamemaniacs.org unterschiedliche Dateien herunterzuladen, etwa HTTP_F.DLL. Die DLL will hÀufigen Kontakt zu einer russischen Website, die Foren hostet, herstellen. Offenbar dient der ganze Zauber einer Denial-of-Service-Attacke gegen diese Domain. Die beteiligte Website gamemaniacs.org ist allem Anschein nach mittlerweile vom Netz, sodass der Verbreitungsmechanismus von Xombe unterbrochen ist.

Der SchÀdling kann die Betriebssysteme Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003 und Windows XP befallen. Anwender von Linux, Mac OS, OS/2, UNIX, Windows 3.x brauchen sich hingegen keine weiteren Gedanken zu machen.

Die Antiviren-Spezialisten F-Secure [1], McAfee [2], NAI [3], Sophos [4] und Symantec [5] bieten weitere Informationen und Abilfe zu dem auch unter dem Namen "Downloader GJ" oder "Troj/Dloader-L" gehandelten Trojaner. (jes [6])

URL dieses Artikels:
https://www.heise.de/-91425

Links in diesem Artikel:
[1] http://www.f-secure.com/v-descs/xombe.shtml
[2] http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100945
[3] http://vil.nai.com/vil/content/v_100945.htm
[4] http://www.sophos.com/virusinfo/analyses/trojdloaderl.html
[5] http://securityresponse.symantec.com/avcenter/venc/data/trojan.xombe.html
[6] mailto:jes@ct.de

Copyright © 2004 Heise Medien