Doctor Web warnt vor Malware Trojan.Tofsee

Trojaner mit Antivirus-Funktion

| Redakteur: Stephan Augsten

Konkurrenzlos: Ein neuer Trojaner versucht, alle anderen Schadcodes auf kompromittierten Rechnern zu entfernen.
Konkurrenzlos: Ein neuer Trojaner versucht, alle anderen Schadcodes auf kompromittierten Rechnern zu entfernen. (Bild: © Peter Eggermann - Fotolia)

Mit Trojan.Tofsee ist aktuell eine Malware in Umlauf, die über eine eher seltene Funktion verfügt: sie löscht andere Schadcodes von kompromittierten Rechnern. Diesen Job erledigt der Trojaner laut den Antivirus-Experten von Doctor Web sogar ziemlich gut. Der eigentliche Zweck ist natürlich ein anderer, nämlich der Versand von Spam-Mails.

PC verseucht und kein Desinfektionstool hilft? Probieren Sie es einmal mit dem Trojaner Tofsee. Dieser „löscht andere Malware vom infizierten Rechner und ist dabei erstaunlich gut“, meldet der IT-Sicherheitsspezialist Doctor Web. Aber im Ernst, das wäre dann doch eine Aktion getreu dem Motto „Vom Regen in die Traufe“.

Trojan.Tofsee verbreitet sich über verschiedene Wege, als da wären Skype, soziale Netzwerke und Wechseldatenträger. Zur Verbreitung über Twitter, Facebook und Skype dient ein Modul, das der Trojaner von einem Server der Cyberkriminellen herunterlädt.

Der anvisierte Nutzer erhält eine Nachricht, dass von ihm bloßstellende Fotos und Videos im Internet kursierten. Die Nachricht verweist auf eine Webseite, über die man die Fotos und Videos ansehen könne. Dort wird der Anwender dann aufgefordert, ein Plug-in herunterzuladen, hinter dem sich letztlich der Trojaner Tofsee verbirgt.

Zum Versand der E-Mails an Twitter und Facebook verwendet der Schädling Daten aus den Cookies von Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari oder Google Chrome. In Skype verwendet das entsprechende Modul die Steuerung im Applikationsfenster. Es kann sogar den Captcha-Schutz in Facebook umgehen.

Ein weiteres Modul dient dem Trojaner zur Verbreitung über Wechseldatenträger. Dazu legt das Modul eine ausführbare Datei von Trojan.Tofsee in den Papierkorb und erstellt im Root-Verzeichnis die Autostart-Datei autorun.inf. Die Infektion erfolgt dann auf Befehl des Kommando-Servers. Ein weiteres Modul holt Updates des Trojaners vom Schadserver.

Ergänzendes zum Thema
 
Modulare Malware: Trojan.Tofsee im Überblick

Das Ungewöhnlichste an Trojan.Tofsee ist allerdings die Antivirus-Funktion, über die der Schädling verfügt und mit der er andere Schadprogramme vom Rechner des Opfers entfernt. Dabei durchsucht das Programm anhand einer vorgegebenen Liste Laufwerke und Dateien nach Schadsoftware und entfernt diese.

Der eigentliche Zweck besteht aber im Versand von Spam-Mails, die aus Vorlagen auf dem Schadserver erstellt werden. Ist eine Verbindung zum Server aufgebaut, erhält der Trojaner Dechiffrier-Schlüssel. Danach schickt er Daten an den Kommando-Server und erhält Befehle, die später ausgeführt werden sollen.

Hervorzuheben ist, dass die Malware zur Erstellung der E-Mails eine eigene Skriptsprache verwendet – laut Doctor Web eine sehr seltene Eigenschaft für einen Trojaners. Das Malware-Muster von Trojan.Tofsee wurde in die Signaturdatenbank des Antivirus-Anbieters eingetragen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42819675 / Malware)