Wurm tarnt sich als Anti-Trojaner-Programm

Wie verschieden Antiviren-Sites berichten, ist ein neuer Trojaner im Umlauf, der sich als neue Version des Anti-Trojaner-Programms ANTS tarnt. Da das aus Deutschland stammende Tool sehr populär ist, befürchten Experten eine große Anzahl von Neuinfektionen.

Die Mail trägt die Betreffzeile ANTS Version 3.0. Im Body steht: „Hi, anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.“ Der selbe Text folgt noch einmal in Englisch. Unterzeichnet ist die Mail mit: „Adieu, Andreas, Webmaster bei avnetwork.de“. Der Dateianhang namens ants3set.exe ist laut Kaspersky Labs in seiner ursprünglichen Form 462 KByte groß oder komprimiert als UPX 186 KByte. Die Sicherheits-Site Bluemerlin rät, das Programm ausschließlich über die Web-Site des Entwicklers zu beziehen.

Der Wurm aktiviert sich bei einem Doppelklick auf den Anhang. Die Software kopiert sich ins Windows-Verzeichnis mit dem aus einer Liste von folgenden Bezeichnungen zufällig ausgewählten Namen: „zfcy.exe“, „BM.exe“, „GG.exe“ oder „hlutl.exe“. Des weiteren schreibt er sich in die Registry: „HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce“„=“C:Windows.exe“.

Der Code versendet sich selbst an willkürlich aus dem Outlook-Adressbuch ausgewählte Kontakte und sucht auf dem Laufwerk C: nach weiteren Mail-Adressen mit der Endung „.php“, „.htm“, „.shtm“, „.cgi“, „.pl“. Dann kopiert er sich in das Root-Verzeichnis, hängt die Datei „Ants3set.exe“ an die Mails an und verschickt sie über eine direkte Verbindung mit dem SMTP-Server.

Laut Auskunft des Entwicklers Andreas Haak auf seiner Web-Site wurden zahlreiche große deutsche Firmen bereits mit dem Wurm infiziert. Er hat deshalb ein Tool programmiert, das den Ants3-Trojaner wieder entfernt, da das manuell fast unmöglich sein soll. Am Ende dieser Site ist das Cleanup-Programm zu finden.