print logo

Backdoor.Ryknos: Trojaner nutzt Sony-Musikdownload

Der Trojaner Backdoor.Ryknos und die Variante Backdoor.Ryknos.B wurden in die Kategorie 2 von 5 Gefahrenstufen eingestuft
Symantec GmbH | 11.11.2005

Symantec Security Response hat den ersten Trojaner entdeckt, der im
Zusammenhang mit der First 4 DRM Technologie von Sony steht, welche sich installiert, wenn kopiergeschützte CDs von BMG abgespielt werden. Der Trojaner Backdoor.Ryknos sowie eine zweite Variante Backdoor.Ryknos.B wurden in die Kategorie 2 (von 5 Gefahrenstufen, wobei 5 die höchste ist) eingestuft und nutzt dieses Sicherheitsrisiko (SecurityRisk.First4DRM http://securityresponse.symantec.com/avcenter/venc/data/securityrisk.first4drm.html),


um sich auf dem betroffenen Rechner zu verstecken. Der Trojaner verbreitet sich über Spam-Mails und enthält eine Bot-Funktionalität, durch die Verbindungen zu unterschiedlichen IRC-Kanälen (Internet Relay Chat)
aufgebaut werden können. Die entsprechende Spam-Mail enthält in vielen
Fällen den Hinweis auf einen Presseartikel sowie einen Anhang, der als
Pressefoto deklariert ist. Ö­ffnet der Nutzer dieses Foto, wird der Trojaner
installiert. Symantec rät daher allen Internetnutzern, diesen Dateianhang
auf keinen Fall zu öffnen. Betroffen sind die Betriebssysteme Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Nicht betroffen sind DOS, Linux, Macintosh, OS/2, UNIX.

Ist Backdoor.Ryknos einmal installiert, weist er folgende Eigenschaften
auf:

- Der Trojaner installiert sich als Datei unter dem Namen
„%System%\$sys$drv.exe“. Diese Datei wird versteckt gehalten, wenn
„SecurityRisk.First4DRMâ†bereits auf dem Rechner vorhanden ist.
- Backdoor.Ryknos versucht, eine Nachricht an vorher bestimmte
IP-Adressen zu schicken und nutzt dazu den Port TCP 8080 (der standardmäßig
zur Internet-Kommunikation über Proxies genutzt wird).
- Er versucht, sich als vertrauenswürdige Applikation an die
Windows Firewall anzuhängen.
- Backdoor.Ryknos öffnet eine Hintertür und koppelt sich an einen
vorbestimmten IRC Kanal. Dies ermöglicht ihm folgende Aktionen:
o Er kann sensible Informationen des gefährdeten Computers senden,
wie zum Beispiel den Rechner- und Benutzernamen, Informationen über das
Betriebssystem und die IP-Adresse.
o Backdoor.Ryknos kann zudem automatisiert Dateien herunterladen und
ausführen.


„Mit der Veränderung inn der Bedrohungslandschaft sieht Symantec eine
alarmierende Zunahme an Cyber-Kriminalität“, sagt Candid Wüest,
Virenanalyst bei Symantec Security Response. „Zwar isst Backdoor.Ryknos der
erste Trojaner seiner Art, seine Funktionsweise ist jedoch nicht neu. Diese
basiert auf einer bekannten Bedrohung, genannt IRC-Bot, die sich mit einem
von vier IRC-Servern verbindet und auf Befehle des Angreifers wartet. Indem
es Backdoor.Ryknos gelingt, einen infizierten Rechner aus der Ferne zu
steuern, wird der Weg geebnet, die Identität sowie den Rechner des Nutzers
für bösartige Angriffe zu nutzen.“


Der jüngste Internet Security Threat Report von Symantec, der im September
2005 veröffentlicht wurde, hat bereits einen anhaltenden Trend bei der
Bedrohung von persönlichen Daten festgestellt. Während der ersten sechs
Monate des Jahres 2005 waren 74 Prozent der Top 50 der von Symantec
identifizierten Bedrohungen in der Lage, vertrauliche Informationen
auszulesen, die dann für Kreditkarten-Betrug oder andere finanziell
motivierten und kriminellen Aktivitäten genutzt werden können.


Detaillierte Informationen zu Backdoor.Ryknos und Backdoor.Ryknos.B stehen
Ihnen derzeit in englischer Sprache unter folgendem Link zur Verfügung:
http://www.symantec.com/avcenter/venc/data/backdoor.ryknos.html
http://www.symantec.com/avcenter/venc/data/backdoor.ryknos.b.html


Internetnutzer sollten sich vergewissern, dass ihre Virendefinitionen
aktuell sind, um sich vor dieser Bedrohung zu schützen. Virendefinitionen
stehen für Symantec-Kunden über die LiveUpdate-Funktion zur Verfügung. Ein
Removal Tool gibt es auf der Seite von Symantec Security Response zum
Download unter folgendem Link:
http://www.symantec.com/avcenter/venc/data/backdoor.ryknos.removal.tool.html