Der Spam-Trojaner als Virenkiller
“Troj/SpamThru”, wie ihn Stewart nennt, hat viele Namen, wenn er denn überhaupt entdeckt wird. Bei einem Virustotal-Scan erkannten ihn viele der großen Virenbekämpfer, darunter natürlich auch Microsoft, überhaupt nicht.
Das ist kein Wunder, denn die Leute hinter SpamThru wollen Geld machen, viel Geld. Also investieren sie eben auch in ein gutes Stück Software und erweisen sich dabei noch als ein gutes Stück besser als ihre eindeutig “kommerziellen” Kollegen. Zuviel Aufwand wäre dabei aber auch unwirtschaftlich, daher muss es nicht gleich ein Rootkit wie bei Sony sein. SpamThru braucht nur ein paar klassische Registry-Keys, um sich in den Eingeweiden des Windows-Systems festzukrallen. Dann geht es aber auch schon los:
“Spam Thru benutzt ein bekanntes P2P-Protokoll, um Informationen mit anderen Peers auszutauschen, darunter die IP-Adressen und Ports sowie die Software-Version des kontrollierenden Servers, ebenso wie die Daten aller Peers, von denen sie jeweils wissen. Die Kontrolle hält noch immer ein zentraler Server aufrecht. Doch wenn der Kontrollserver nicht mehr verfügbar ist, kann der Spammer den übrigens Peers die Adresse eines neuen Kontrollservers übermitteln, so lange er noch die Kontrolle über einen einzigen Peer hat.”
Das Feuerwerk der Software-Entwicklung kommt aber erst noch. Denn jeder spammende Geschäftsmann hat auch Konkurrenten, die sich die gleichen Computer unbedarfter Nutzer kapern können. Unser Spammer möchte die übernommenen Systemressourcen aber für sich einsetzen und nicht etwa mit anderen Massenmail-Versendern teilen, die seinen eigenen Spam-Ausstoß reduzieren könnten.
Ginge es um ein rechtmäßiges Gewerbe, wäre zweifellos patentwürdig, was sich die Programmierer einfallen ließen und vom Trojaner-Experten schön trocken beschrieben wird:
“SpamThru bringt das Spiel auf eine neue Ebene, indem er tatsächlich eine Antiviren-Software gegen potenzielle Rivalen einsetzt. Beim Start lädt SpamThru eine DLL vom Kontrollserver. Diese DLL wiederum lädt eine geraubte Kopie von Kaspersky AntiVirus for WinGate vom Kontrollserver in ein verstecktes Verzeichnis des infizierten Systems. Sie patcht die Lizenzsignaturprüfung in der Kapersky-DLL im Arbeitsspeicher, damit Kapersky seine Dienste nicht etwa wegen einer ungültigen oder abgelaufenen Lizenz versagt. Zehn Minuten nach dem Herabladen der DLL beginnt es das System nach bösartigen Programmen zu durchsuchen und übergeht dabei Dateien, die es als Teil seiner eigenen Installation erkennt. Alles übrige, was sonst noch an Malware auf dem System gefunden wurde, wird beim nächsten Neustart von Windows beseitigt.”
Kostenlose Virenbeseitigung also. Will Microsoft nicht demnächst so etwas im kostenpflichtigen Abonnement bieten? Brauchen wir nicht mehr – der Trojaner macht es günstiger und vermutlich besser. (bk)