37110

Trojaner lädt Dialer erneut herunter

12.02.2003 | 12:55 Uhr | Hans-Christian Dirscherl

Entdeckt der genarrte Anwender trotz aller dieser Tarnmaßnahmen den heimtückischen Dialer und löscht ihn, so ist die Gefahr damit noch nicht gebannt. Das Visual Basic-Skript überprüft nämlich, ob sich der Dialer im Windows-Verzeichnis befindet. Ist das nicht (mehr) der Fall, aktiviert das Skript daraufhin den Trojaner, damit dieser den Dialer erneut von einem Webserver herunterlädt.

Das gleiche Ziel wie mit der präparierten Website verfolgt auch eine HTML-Mail, die derzeit in Umlauf sein soll. Unter Umständen reicht schon das Öffnen der Mail, damit die oben beschriebenen Prozesse gestartet werden und sich der Dialer auf dem angegriffenen System installiert. Alles in allem soll die Vorgehensweise der Mail an den Nimda-Wurm erinnern.

Die Betreff-Zeile der Mail lautet "Hi Boy", der Text beginnt mit "I'm 18 years old and my name is Pamela..." Je nach verwendeten Sicherheitseinstellungen und Mailprogramm kann beim Öffnen der Mail die mitgeschickte "server.exe" mit dem Dialer automatisch gestartet werden.

Der Dialer selbst ist verschlüsselt und besitzt nicht das vorgeschriebene Bedienmenü, mit dem er den Anwender über sein Tun informieren sollte. Laut Trojanerinfo wurde der Dialer hierzu nachträglich manipuliert. Der Dialer versucht zu bestimmten Tageszeiten oder nach einem Zufallsfaktor eine Einwahl ins Internet aufzubauen. Dazu benutzt der Dialer verschiedene Nummern. Pro Minute scheint der Dialer unter anderem sechs Dollar zu kassieren.

PC-WELT Marktplatz

37110