Antivirus im Virus

Mehrere Sicherheitsunternehmen sind auf einen Spam sendenden Virus aufmerksam geworden, der eine Antivirenkomponente verwendet, um infizierte Computer von konkurrierender Malware zu säubern.

Ein Trojaner namens SpamThru, der gerade erschienen ist, hat einige Kuriositäten für Virenschutz-Profis gehalten. Auf den ersten Blick schien der neue Trojaner sich nicht wesentlich von dem heute entwickelten Spam zu unterscheiden. Dies liegt daran, dass die neue Malware an ausgewählten Computern Änderungen vornimmt, die es ihr ermöglichen, im Hintergrund große Mengen unerwünschter E-Mails zu versenden. Es modifiziert auch die Hosts-Datei auf infizierten Computern, um den Zugriff auf die Websites von Sicherheitsunternehmen zu verhindern und die Antivirensoftware zu aktualisieren.

Die oben genannten Funktionen sind jedoch noch nicht überraschend, da täglich Trojaner mit solchen Fähigkeiten auftauchen. Die eigentliche Neugier entstand, als Experten feststellten, dass SpamThru auch eine Antivirus-Komponente enthält. Joe Stewart, ein Forscher bei SecureWorks, sagte, dass eine der Antiviren-Engines von Kaspersky Anti-Virus für den Trojaner verwendet wurde. Auf diese Weise kann das Schadprogramm den infizierten Computer auf andere Arten von Viren scannen und, wenn es gefunden wird, entfernen. Das heißt, der Trojaner löscht konkurrierende Malware von Computern, damit er die volle Kontrolle über die Systeme übernehmen kann.

Ein weiteres interessantes Merkmal von SpamThru ist, dass es das Potenzial von P2P-Technologien viel intensiver als bisher ausschöpft. Sie verwenden es, um verschiedene Informationen über infizierte Systeme auszutauschen. Es veröffentlicht beispielsweise die IP-Adressen von Computern, Portinformationen, Software- und Betriebssystemversionen.

Neuigkeiten über den Sonderbetrieb von SpamThru wurden auch von McAfee und Sophos bestätigt. Allerdings haben Sicherheitsfirmen berichtet, dass eine Variante ihres neuen Trojaners, die sich schnell verbreiten konnte, noch nicht aufgetaucht ist.