Nürnberg (pte010/11.11.2005/10:30) - Der Sicherheitsexperte H+BEDV http://www.antivir.de berichtet vom ersten Trojaner, der die Kopierschutzsoftware XCP von Sony (pte berichtete: http://www.pte.at/pte.mc?pte=051103036 ) ausnutzt. Gerät Ryknos.A bei seiner Verbreitung an einen Rechner, auf dem XCP installiert ist, so kann er sich auf dem betroffenen System verstecken. Für den Anwender wird er damit unsichtbar und verbleibt unbemerkt auf dem System, teilt H+BEDV mit.

"Das Gefahrenpotential des Schadprogramms ist aber eher gering", sagte Adela Kohl, Sprecherin von H+BEDV, im pressetext-Gespräch. Jedoch ist damit den Hackern der Beweis gelungen, dass die Rootkit-Funktion von XCP ausgenutzt werden kann, um Viren zu verbreiten. Der Trojaner ist in der Lage aus seinem Versteck heraus Verbindungen zu IRC-Servern aufzubauen, und so eine Hintertür für weitere Angriffe zu öffnen.

Die Funktionsweise des Trojaners ist klassisch. Aktiviert vom ahnungslosen User, kopiert sich TR/IRC.Ryknos.A unter dem Namen $sys$drv.exe in das Windows-Systemverzeichnis und legt einen Registry-Eintrag an. "Neu ist, dass der Trojaner XCP als Tarnkappe verwendet und sich dadurch verstecken kann", so Kohl. XCP versteckt grundsätzlich sämtliche Dateien und Prozesse, die mit $sys$ beginnen, vor dem Anwender.

(Ende)