Symantec Security Response hat den ersten Trojaner entdeckt, der im Zusammenhang mit der First 4 DRM Technologie von Sony steht, welche sich installiert, wenn kopiergeschützte CDs von BMG abgespielt werden. Der Trojaner Backdoor.Ryknos sowie eine zweite Variante Backdoor.Ryknos.B wurden in die Kategorie 2 (von 5 Gefahrenstufen, wobei 5 die höchste ist) eingestuft und nutzt dieses Sicherheitsrisiko (SecurityRisk.First4DRM http://securityresponse.symantec.com/...),
um sich auf dem betroffenen Rechner zu verstecken. Der Trojaner verbreitet sich über Spam-Mails und enthält eine Bot-Funktionalität, durch die Verbindungen zu unterschiedlichen IRC-Kanälen (Internet Relay Chat) aufgebaut werden können. Die entsprechende Spam-Mail enthält in vielen Fällen den Hinweis auf einen Presseartikel sowie einen Anhang, der als Pressefoto deklariert ist. Öffnet der Nutzer dieses Foto, wird der Trojaner installiert. Symantec rät daher allen Internetnutzern, diesen Dateianhang auf keinen Fall zu öffnen. Betroffen sind die Betriebssysteme Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Nicht betroffen sind DOS, Linux, Macintosh, OS/2, UNIX.
Ist Backdoor.Ryknos einmal installiert, weist er folgende Eigenschaften
auf:
- Der Trojaner installiert sich als Datei unter dem Namen
„%System%\$sys$drv.exe“. Diese Datei wird versteckt gehalten, wenn „SecurityRisk.First4DRM” bereits auf dem Rechner vorhanden ist.
- Backdoor.Ryknos versucht, eine Nachricht an vorher bestimmte
IP-Adressen zu schicken und nutzt dazu den Port TCP 8080 (der standardmäßig zur Internet-Kommunikation über Proxies genutzt wird).
- Er versucht, sich als vertrauenswürdige Applikation an die
Windows Firewall anzuhängen.
- Backdoor.Ryknos öffnet eine Hintertür und koppelt sich an einen
vorbestimmten IRC Kanal. Dies ermöglicht ihm folgende Aktionen:
o Er kann sensible Informationen des gefährdeten Computers senden,
wie zum Beispiel den Rechner- und Benutzernamen, Informationen über das Betriebssystem und die IP-Adresse.
o Backdoor.Ryknos kann zudem automatisiert Dateien herunterladen und
ausführen.
„Mit der Veränderung in der Bedrohungslandschaft sieht Symantec eine alarmierende Zunahme an Cyber-Kriminalität“, sagt Candid Wüest, Virenanalyst bei Symantec Security Response. „Zwar ist Backdoor.Ryknos der erste Trojaner seiner Art, seine Funktionsweise ist jedoch nicht neu. Diese basiert auf einer bekannten Bedrohung, genannt IRC-Bot, die sich mit einem von vier IRC-Servern verbindet und auf Befehle des Angreifers wartet. Indem es Backdoor.Ryknos gelingt, einen infizierten Rechner aus der Ferne zu steuern, wird der Weg geebnet, die Identität sowie den Rechner des Nutzers für bösartige Angriffe zu nutzen.“
Der jüngste Internet Security Threat Report von Symantec, der im September
2005 veröffentlicht wurde, hat bereits einen anhaltenden Trend bei der Bedrohung von persönlichen Daten festgestellt. Während der ersten sechs Monate des Jahres 2005 waren 74 Prozent der Top 50 der von Symantec identifizierten Bedrohungen in der Lage, vertrauliche Informationen auszulesen, die dann für Kreditkarten-Betrug oder andere finanziell motivierten und kriminellen Aktivitäten genutzt werden können.
Detaillierte Informationen zu Backdoor.Ryknos und Backdoor.Ryknos.B stehen Ihnen derzeit in englischer Sprache unter folgendem Link zur Verfügung:
http://www.symantec.com/...
http://www.symantec.com/...
Internetnutzer sollten sich vergewissern, dass ihre Virendefinitionen aktuell sind, um sich vor dieser Bedrohung zu schützen. Virendefinitionen stehen für Symantec-Kunden über die LiveUpdate-Funktion zur Verfügung. Ein Removal Tool gibt es auf der Seite von Symantec Security Response zum Download unter folgendem Link:
http://www.symantec.com/...
um sich auf dem betroffenen Rechner zu verstecken. Der Trojaner verbreitet sich über Spam-Mails und enthält eine Bot-Funktionalität, durch die Verbindungen zu unterschiedlichen IRC-Kanälen (Internet Relay Chat) aufgebaut werden können. Die entsprechende Spam-Mail enthält in vielen Fällen den Hinweis auf einen Presseartikel sowie einen Anhang, der als Pressefoto deklariert ist. Öffnet der Nutzer dieses Foto, wird der Trojaner installiert. Symantec rät daher allen Internetnutzern, diesen Dateianhang auf keinen Fall zu öffnen. Betroffen sind die Betriebssysteme Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Nicht betroffen sind DOS, Linux, Macintosh, OS/2, UNIX.
Ist Backdoor.Ryknos einmal installiert, weist er folgende Eigenschaften
auf:
- Der Trojaner installiert sich als Datei unter dem Namen
„%System%\$sys$drv.exe“. Diese Datei wird versteckt gehalten, wenn „SecurityRisk.First4DRM” bereits auf dem Rechner vorhanden ist.
- Backdoor.Ryknos versucht, eine Nachricht an vorher bestimmte
IP-Adressen zu schicken und nutzt dazu den Port TCP 8080 (der standardmäßig zur Internet-Kommunikation über Proxies genutzt wird).
- Er versucht, sich als vertrauenswürdige Applikation an die
Windows Firewall anzuhängen.
- Backdoor.Ryknos öffnet eine Hintertür und koppelt sich an einen
vorbestimmten IRC Kanal. Dies ermöglicht ihm folgende Aktionen:
o Er kann sensible Informationen des gefährdeten Computers senden,
wie zum Beispiel den Rechner- und Benutzernamen, Informationen über das Betriebssystem und die IP-Adresse.
o Backdoor.Ryknos kann zudem automatisiert Dateien herunterladen und
ausführen.
„Mit der Veränderung in der Bedrohungslandschaft sieht Symantec eine alarmierende Zunahme an Cyber-Kriminalität“, sagt Candid Wüest, Virenanalyst bei Symantec Security Response. „Zwar ist Backdoor.Ryknos der erste Trojaner seiner Art, seine Funktionsweise ist jedoch nicht neu. Diese basiert auf einer bekannten Bedrohung, genannt IRC-Bot, die sich mit einem von vier IRC-Servern verbindet und auf Befehle des Angreifers wartet. Indem es Backdoor.Ryknos gelingt, einen infizierten Rechner aus der Ferne zu steuern, wird der Weg geebnet, die Identität sowie den Rechner des Nutzers für bösartige Angriffe zu nutzen.“
Der jüngste Internet Security Threat Report von Symantec, der im September
2005 veröffentlicht wurde, hat bereits einen anhaltenden Trend bei der Bedrohung von persönlichen Daten festgestellt. Während der ersten sechs Monate des Jahres 2005 waren 74 Prozent der Top 50 der von Symantec identifizierten Bedrohungen in der Lage, vertrauliche Informationen auszulesen, die dann für Kreditkarten-Betrug oder andere finanziell motivierten und kriminellen Aktivitäten genutzt werden können.
Detaillierte Informationen zu Backdoor.Ryknos und Backdoor.Ryknos.B stehen Ihnen derzeit in englischer Sprache unter folgendem Link zur Verfügung:
http://www.symantec.com/...
http://www.symantec.com/...
Internetnutzer sollten sich vergewissern, dass ihre Virendefinitionen aktuell sind, um sich vor dieser Bedrohung zu schützen. Virendefinitionen stehen für Symantec-Kunden über die LiveUpdate-Funktion zur Verfügung. Ein Removal Tool gibt es auf der Seite von Symantec Security Response zum Download unter folgendem Link:
http://www.symantec.com/...
