Suchen

Vorsicht bei Installern für die Windows-Sidebar Trojaner im Gadget-Gewand

| Redakteur: Stephan Augsten

Der Sicherheitsforscher Jonathan French von AppRiver ist nach eigener Aussage über ein „interessantes Malware-Exemplar gestolpert“. Es handelt sich um einen Trojaner, der als Gadget-Datei für die Windows-Sidebar getarnt war. Letztlich dient der Schadcode dazu, weitere Malware aus dem Internet nachzuladen.

Firma zum Thema

Der Sicherheitsanbieter Appriver hat einen als Windows-Sidebar-Gadget getarnten Trojaner entdeckt.
Der Sicherheitsanbieter Appriver hat einen als Windows-Sidebar-Gadget getarnten Trojaner entdeckt.
( © Grafvision - Fotolia)

Ob Analoguhr, RSS-Feed oder CPU-„Tacho“: Die Windows-Sidebar hält einige nützliche Mini-Anwendungen, auch Gadgets genannt, für den Anwender bereit. Je nach Vorliebe lassen sich die Software-Schnipsel nachinstallieren – und diese Funktion machen sich auch Malware-Entwickler zunutze.

Im Blog des Sicherheitsanbieters AppRiver warnt Jonathan French vor einem solchen Schadcode, der in Form einer Gadget-Datei verbreitet wird. Diese .gadget-Files sind im weitesten Sinne gepackte Dateien mit Installer-Funktion. French änderte schlicht und einfach die Dateiendung, um die Inhalte des Trojaners zu extrahieren.

Das gefälschte Gadget setzte sich demnach aus drei Teilen zusammen: main.exe, gadget.html und gadget.xml. Während die html- und die xml-Inhalte für die Installation des bösartigen Gadgets zuständig sind, handelt es sich bei der exe-Datei um den eigentlichen Downloader.

Nach der Installation nimmt diese Komponente umgehend Kontakt mit dem Internet auf, um ein File mit .enc-Erweiterung herunterzuladen. Offensichtlich ist dies laut French ein Schadcode, der verschlüsselt wurde, um Webfilter und Antivirus-Programme zu täuschen. Darüber hinaus versuchte der Downloader, eine weitere exe-Datei herunterzuladen.

French übermittelte das gefälschte Gadget-File nach eigener Aussage an die webbasierte Multi-Scanning-Engine VirusTotal. Von den dort eingesetzten 52 Antivirus-Engines habe nur MalwareBytes die Datei als bösartig identifiziert. Die Datei wird momentan vornehmlich als E-Mail-Anhang verbreitet, AppRiver habe Ende vergangener Woche bereits 70.000 solcher Nachrichten geblockt.

(ID:42707061)