Fehler
  • JUser: :_load: Fehler beim Laden des Benutzers mit der ID: 62

Trojaner

Koredos - Trojaner zerstört Wirt

Ein Trojaner, der kürzlich auf einigen koreanischen Websites aufgetaucht ist und eigentlich DDoS-Attacken gegen verschiedene Websites startete, sorgt auf seinen Wirten für neues Ungemach.
Bei Symantec wird der Trojaner unter dem Namen Trojan.Koredos geführt, Trend Micro nennt ihn TROJ_QDDOS.A oder TROJ_QDDOS.SME.

Nach Berichten des Spezialisten für Sicherheitssoftware Symantec richtet der Trojaner weitaus mehr Schaden an, als man von einem "einfachen" Trojaner vermuten würde. Auch ist das Verhalten recht unüblich, da ein Trojaner in den meisten Fällen Geld verdienen soll und dazu gehört es, möglichst lange unbemerkt am Leben zu bleiben.

Normalerweise nehmen Trojaner nachdem sie einen Computer infiltriert haben Kontakt zu ihrem C&C Server auf, um weitere Befehle und Malware-Bausteine von dort herunter zu laden. Bei Trojan.Koredos ist dies nicht der Fall. Er trägt alle Informationen, die er für seine Arbeit braucht in sich. Das hat unter Anderem auch den Vorteil, dass er auf diesem Wege nicht zurück verfolgt werden kann.

Wird der Trojaner aktiviert, erstellt er umgehend verschiedene Dateien im Systemverzeichnis des Wirtscomputers, darunter auch drei Kopien einer DLL die er nach dem Muster [zufällige Buchstabenkombination]svc.dll benennt. Anschließend erstellt er für jede dieser DLLs einen Dienst um sie auszuführen, die Dienste sind ebenfalls nach einem bestimmten Muster benannt. Die Namen der Dienste sind aus zwei Teilen zusammengesetzt. Teil 1 ist entweder "Microsoft" oder "Windwos" während es für Teil 2 wesentlich mehr Möglichkeiten gibt. Eine Liste der Möglichkeiten können Sie auf der Detailseite des Trojaners bei Symantec nachschlagen. Wurden die Dienste gestartet, macht sich der Trojaner an der Hosts-Datei zu schaffen und bereichert diese um einige Einträge.

Das weitere Verhalten ist bemerkenswert und bösartig zugleich, denn der Trojaner wird das System des Wirtes unbrauchbar machen, wenn er nicht rechtzeitig gelöscht wird. Dafür sind genau sieben Tage Zeit. Danach beginnt er damit, sein Wirtssystem zu zerstören, indem zuerst gängige Dokumenttypen gesucht und mit Nullen überschrieben werden. In vielen Fällen wird auch der Master Boot Record der Systemplatte zerstört, sodass Windows nicht mehr starten kann.

Die Entfernung des Trojaners ist verhältnismäßig einfach. Eine genaue Anleitung für Nutzer von finden Sie auf der Symantec Website