Vorsicht bei Installern für die Windows-Sidebar

Trojaner im Gadget-Gewand

| Redakteur: Stephan Augsten

Der Sicherheitsanbieter Appriver hat einen als Windows-Sidebar-Gadget getarnten Trojaner entdeckt.
Der Sicherheitsanbieter Appriver hat einen als Windows-Sidebar-Gadget getarnten Trojaner entdeckt. (Grafvision - Fotolia.com)

Der Sicherheitsforscher Jonathan French von AppRiver ist nach eigener Aussage über ein „interessantes Malware-Exemplar gestolpert“. Es handelt sich um einen Trojaner, der als Gadget-Datei für die Windows-Sidebar getarnt war. Letztlich dient der Schadcode dazu, weitere Malware aus dem Internet nachzuladen.

Ob Analoguhr, RSS-Feed oder CPU-„Tacho“: Die Windows-Sidebar hält einige nützliche Mini-Anwendungen, auch Gadgets genannt, für den Anwender bereit. Je nach Vorliebe lassen sich die Software-Schnipsel nachinstallieren – und diese Funktion machen sich auch Malware-Entwickler zunutze.

Im Blog des Sicherheitsanbieters AppRiver warnt Jonathan French vor einem solchen Schadcode, der in Form einer Gadget-Datei verbreitet wird. Diese .gadget-Files sind im weitesten Sinne gepackte Dateien mit Installer-Funktion. French änderte schlicht und einfach die Dateiendung, um die Inhalte des Trojaners zu extrahieren.

Das gefälschte Gadget setzte sich demnach aus drei Teilen zusammen: main.exe, gadget.html und gadget.xml. Während die html- und die xml-Inhalte für die Installation des bösartigen Gadgets zuständig sind, handelt es sich bei der exe-Datei um den eigentlichen Downloader.

Nach der Installation nimmt diese Komponente umgehend Kontakt mit dem Internet auf, um ein File mit .enc-Erweiterung herunterzuladen. Offensichtlich ist dies laut French ein Schadcode, der verschlüsselt wurde, um Webfilter und Antivirus-Programme zu täuschen. Darüber hinaus versuchte der Downloader, eine weitere exe-Datei herunterzuladen.

French übermittelte das gefälschte Gadget-File nach eigener Aussage an die webbasierte Multi-Scanning-Engine VirusTotal. Von den dort eingesetzten 52 Antivirus-Engines habe nur MalwareBytes die Datei als bösartig identifiziert. Die Datei wird momentan vornehmlich als E-Mail-Anhang verbreitet, AppRiver habe Ende vergangener Woche bereits 70.000 solcher Nachrichten geblockt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42707061 / Malware)