242644

Falsche Google Toolbar installiert Malware

19.07.2006 | 16:15 Uhr |

Eine vorgebliche neue Version der Toolbar von Google wird per Mail beworben. Sie enthält jedoch keinen nützlichen Browser-Zusatz sondern Malware.

Im Spam-artig verbreiteten Mails wurde am Dienstag Abend verkündet, es wäre eine neue Version der Google Toolbar erhältlich. Die Mails enthielten einen Link zu einer Website, wo es scheinbar verschiedene Varianten der neuen Toolbar gab. Die Website wurde bereits kurze Zeit später gesperrt. Alle herunterladbaren Dateien waren identisch und enthielten ein Trojanisches Pferd.

Der Schädling wurde zunächst von keinem Antivirus-Programm erkannt. Kaspersky Labs reagierte zuerst und gab an, es handele sich um eine lediglich neu komprimierte und verschlüsselte Version einer bekannten Malware namens "Trojan-Proxy.Win32.Ranky". Diese neue Fassung wird als "Trojan-Proxy.Win32.Ranky.fw" bezeichnet.

Wird die vermeintliche Google Toolbar gestartet, installiert das Programm einen Proxy-Dienst. Darüber kann ein Angreifer den PC als Proxy für die Internet-Nutzung verwenden. Dadurch tarnt er sich gegenüber den Servern, auf die er zugreift. Für diese erscheint der fremdgesteuerte PC als Quelle der Datentransfers.

Der Schädling trägt sich unter dem Namen "Services" in die Registry ein:

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
"Services = <Pfad zur Datei>"

Er versucht dann auf einer Reihe von TCP-Ports Kontakt mit einem Server im Internet aufzunehmen. Gelingt dies nicht, versucht er es in Abständen von 15 Minuten wieder. Gelingt es, teilt er seinem Kontrollserver die Port-Nummer und verschlüsselter Form mit. Nun kann der PC als Proxy missbraucht werden.

Um den Schädling zu entfernen, suchen Sie in der Registry den oben genannten Run-Schlüssel und notieren Sie Name und Speicherort der Datei. Starten Sie den Taskmanager und beenden Sie den Prozess des Schädlings, der einen Namen wie "Windows-Update-Service" tragen kann. Löschen Sie dann die Programmdatei des Schädlings und entfernen Sie seinen Eintrag in der Registry.

0 Kommentare zu diesem Artikel
242644