Categories: Software

Wurm tarnt sich als Anti-Trojaner-Programm

Wie verschieden Antiviren-Sites berichten, ist ein neuer Trojaner im Umlauf, der sich als neue Version des Anti-Trojaner-Programms ANTS tarnt. Da das aus Deutschland stammende Tool sehr populär ist, befürchten Experten eine große Anzahl von Neuinfektionen.

Die Mail trägt die Betreffzeile ANTS Version 3.0. Im Body steht: „Hi, anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.“ Der selbe Text folgt noch einmal in Englisch. Unterzeichnet ist die Mail mit: „Adieu, Andreas, Webmaster bei avnetwork.de“. Der Dateianhang namens ants3set.exe ist laut Kaspersky Labs in seiner ursprünglichen Form 462 KByte groß oder komprimiert als UPX 186 KByte. Die Sicherheits-Site Bluemerlin rät, das Programm ausschließlich über die Web-Site des Entwicklers zu beziehen.

Der Wurm aktiviert sich bei einem Doppelklick auf den Anhang. Die Software kopiert sich ins Windows-Verzeichnis mit dem aus einer Liste von folgenden Bezeichnungen zufällig ausgewählten Namen: „zfcy.exe“, „BM.exe“, „GG.exe“ oder „hlutl.exe“. Des weiteren schreibt er sich in die Registry: „HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce“„=“C:Windows.exe“.

Der Code versendet sich selbst an willkürlich aus dem Outlook-Adressbuch ausgewählte Kontakte und sucht auf dem Laufwerk C: nach weiteren Mail-Adressen mit der Endung „.php“, „.htm“, „.shtm“, „.cgi“, „.pl“. Dann kopiert er sich in das Root-Verzeichnis, hängt die Datei „Ants3set.exe“ an die Mails an und verschickt sie über eine direkte Verbindung mit dem SMTP-Server.

Laut Auskunft des Entwicklers Andreas Haak auf seiner Web-Site wurden zahlreiche große deutsche Firmen bereits mit dem Wurm infiziert. Er hat deshalb ein Tool programmiert, das den Ants3-Trojaner wieder entfernt, da das manuell fast unmöglich sein soll. Am Ende dieser Site ist das Cleanup-Programm zu finden.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago