Neuer Trojaner mit Antivirus-Funktion
Malware versendet Spam-Mails und löscht andere Schadsoftware
Zur Verbreitung von Trojan.Tofsee über die sozialen Netzwerke Twitter, Facebook und Skype dient ein Modul, welches der Trojaner vom Server der Cyberkriminellen herunterlädt
Doctor Web warnt vor dem Schadprogramm Trojan.Tofsee. Der Trojaner verschickt nicht nur Spam-Mails, sondern verfügt über eine ungewöhnliche Funktion: Er löscht andere Malware vom infizierten Rechner und ist dabei erstaunlich gut. Trojan.Tofsee verbreitet sich über verschiedene Wege: Skype, soziale Netzwerke und Wechseldatenträger.
Zur Verbreitung von Trojan.Tofsee über die sozialen Netzwerke Twitter, Facebook und Skype dient ein Modul, welches der Trojaner vom Server der Cyberkriminellen herunterlädt. Es erweckt den Anschein, dass kompromittierende Fotos und Videos des Users im Internet verfügbar seien. Die versandten Nachrichten enthalten einen Link zu der Seite, auf denen sich das potenzielle Opfer die Fotos und Videos ansehen kann. Dazu wird der Anwender aufgefordert, ein Plug-in herunterzuladen, hinter dem sich Trojan.Tofsee verbirgt:
Zum Versand der E-Mails an Twitter und Facebook verwendet der Schädling Daten aus den Cookies von Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari oder Google Chrome. In Skype verwendet das entsprechende Modul die Steuerung im Applikationsfenster. Es kann sogar den CAPTCHA-Schutz in Facebook umgehen.
Ein weiteres Modul dient dem Trojaner zur Verbreitung über Wechseldatenträger. Dazu legt das Modul eine ausführbare Datei von Trojan.Tofsee in den Papierkorb und erstellt im Root-Verzeichnis die Autostart-Datei autorun.inf. Die Infektion erfolgt dann auf Befehl des Kommando-Servers. Ein weiteres Modul holt Updates des Trojaners vom Schadserver.
Das Ungewöhnlichste an Trojan.Tofsee ist allerdings die Antivirus-Funktion, über die der Schädling verfügt und mit der er andere Schadprogramme vom Rechner des Opfers entfernt. Dabei durchsucht das Programm anhand einer vorgegebenen Liste Laufwerke und Dateien nach Schadsoftware und entfernt diese eigenmächtig und ohne Wissen des Nutzers – der PC ist also vermeintlich selbst dann geschützt, wenn kein Antivirusprogramm vorhanden ist.
Der eigentliche Zweck ist aber der Versand von Spam-Mails, die aus Vorlagen auf dem Schadserver erstellt werden. Ist eine Verbindung zum Server aufgebaut, erhält der Trojaner Dechiffrier-Schlüssel. Danach schickt er Daten an den Kommando-Server und erhält Befehle, die später ausgeführt werden sollen. Hervorzuheben ist, dass der Trojaner für die Erstellung der E-Mails eine eigene Skriptsprache verwendet – eine sehr seltene Eigenschaft eines Trojaners.
Trojan.Tofsee kann derzeit 17 Module vom Kommando--Server herunterladen. Dazu gehören folgende Funktionen:
>> ein Modul zur Überprüfung von Adressen
>> ein Modul für DDoS-Angriffe (HTTP Flood und SYN Flood),
>> ein Modul, das den verschlüsselten Trojan.PWS.Pony.5 enthält,
>> ein Modul zum Mitschneiden von Daten des Microsoft Internet Explorer,
>> ein Modul zur Verarbeitung grafischer Daten,
>> ein Modul zur Gewinnung von E-Mail-Adressen aus dem Internet Account Manager und PstoreCreateInstance, ein Modul zum Herunterladen und Installieren von Trojan.BtcMine.148 (einem Bitcoin-Miner), welches Trojan.BtcMine.148 auch mit allen nötigen Parametern versorgt,
>> ein Modul, welches im Verzeichnis System32\Drivers\ den Trojaner Trojan.Siggen.18257 als Datei mit zufälligem Namen und der Erweiterung .sys installiert und startet,
>> ein HTTP- und SOCKS5-Proxymodul,
>> ein Modul zur Erstellung und dem Versand von E-Mails via HTTPS,
>> eine Bibliothek zur Überwachung, Analyse und Modifikation von via FTP und SMTP übertragener Daten,
>> ein Modul zur Verarbeitung von Konfigurationsdaten und -vorlagen sowie
>> ein Modul, das die zur Erstellung der Spam-Mails verwendete Skriptsprache implementiert
Doctor Web warnt ausdrücklich vor derartigen "Antivirus-Tools" und empfiehlt, stattdessen bewährte Antivirus-Software bekannter Hersteller zu installieren und diese stets aktuell zu halten. Die Signatur für Trojan.Tofsee wurde in die Dr.Web-Virendatenbank eingetragen und stellt damit für Dr.Web-Anwender keine Gefahr mehr dar. (Doctor Web: ra)
Doctor Web: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.