Hanau, 18. Juni 2014

Die Sicherheitsanalysten von Doctor Web haben Trojan.Tofsee, der vornehmlich zum Versand von Spam-Mails gedacht ist, analysiert und dabei festgestellt, dass eines seiner Module andere Trojanern & Co. löscht.Häufig versäumen Anwender die Installation von Antivirus-Software und werden damit leicht Opfer von Cyber-Kriminellen. Scheinbar „Glück“ haben Anwender, deren Rechner mit Trojan.Tofsee infiziert wurden: dieser Schädling versendet nicht nur Spam-Mails, sondern entfernt auch andere Trojaner aus dem System.

Trojan.Tofsee verbreitet sich über verschiedene Wege: Skype, soziale Netzwerke und Wechseldatenträger. Im ersten Fall wird den Opfern vorgetäuscht, dass sie kompromittierende Fotos und Videos im Internet verfügbar seien, worauf viele Anwender immer noch hereinfallen.Zur Verbreitung von Trojan.Tofsee über die sozialen Netzwerke Twitter, Facebook und Skype dient ein spezielles Modul, welches der Trojaner vom Server der Übeltäter herunterlädt. Die von diesem Modul versandten Nachrichten werden aus einer Vorlage in der Konfigurationsdatei erstellt und den Adressaten in ihrer jeweiligen Sprache zugestellt.

Die versandten Nachrichten enthalten einen Link zu der Seite, wo sich das potenzielle Opfer die angeblich kompromittierenden Fotos und Videos ansehen kann: Dazu wird der Anwender aufgefordert, ein Plug-in herunterzuladen, hinter dem sich Trojan.Tofsee verbirgt.

Zum Versand der E-Mails an Twitter und Facebook verwendet der Schädling Sitzungs-Inormationen aus den Cookie-Dateien von Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari oder Google Chrome. Dabei ist das Modul in der Lage, den CAPTCHA-Schutz von Facebook zu umgehen.

Ein weiteres Modul dient dem Trojaner zur Verbreitung über Wechseldatenträger. Dazu legt das Modul eine ausführbare Datei von Trojan.Tofsee in den Papierkorb und erstellt im Wurzelverzeichnis die Autostart-Datei autorun.inf. Die Infektion erfolgt dann auf Befehl des Kommando-Servers.Noch ein Modul holt Updates von Trojan.Tofsee vom Server der Übeltäter. Die dafür notwendigen Parameter befinden sich in einer Konfigurationsdatei; fehlt dort ein Parameter, wird anstelle eines Updates folgendes seltsames Bild heruntergeladen:

Das Ungewöhnlichste an Trojan.Tofsee ist aber das Modul zum Löschen anderer Trojaner & Co.: Anhand einer vorgegebenen Liste durchsucht es Laufwerke und Dateien, Registry-Einträge sowie laufende Prozesse nach Schädlingen und entfernt diese. Selbst wenn auf dem Rechner des Opfers kein Antivirus-Programm installiert ist, „sorgt“ Trojan.Tofsee so vermeintlich für Sicherheit.

Der eigentliche Zweck von Trojan.Tofsee ist aber der Versand von Spam-Mails, die aus Vorlagen erstellt werden, welche vom Server der Übeltäter geholt werden. Sobald er eine Verbindung zum Server aufgebaut hat, erhält der Trojaner Dechiffrier-Schlüssel. Danach schickt er Daten an den Kommando-Server und erhält Befehle, die später ausgeführt werden sollen. Hervorzuheben ist noch, dass der Trojaner für die Erstellung der E-Mails eine eigene Skriptsprache verwendet, was ziemlich selten ist.

Zur Zeit kann Trojan.Tofsee 17 Module vom Kommando-Server herunterladen. Neben den bereits genannten verfügen diese Module über folgende Funktionen:

• ein Modul zur Überprüfung von Adressen,ein Modul für DDoS-Angriffe (HTTP Flood und SYN Flood),
• ein Modul, das den verschlüsselten Trojan.PWS.Pony.5 enthält,
• ein Modul zum Mitschneiden von Daten des Microsoft Internet Explorer,
• ein Modul zur Verarbeitung grafischer Daten,
• ein Modul zur Gewinnung von E-Mail-Adressen aus Internet Account Manager und PstoreCreateInstance,ein Modul zum Herunterladen und Installieren von Trojan.BtcMine.148 (einem Bitcoin-Miner), welches Trojan.BtcMine.148 auch mit allen nötigen Parametern versorgt,
• ein Modul, welches im Verzeichnis System32\Drivers\ das böswillige Programm Trojan.Siggen.18257 als Datei mit zufälligem Namen und der Erweiterung .sys installiert und startet,ein HTTP- und SOCKS5-Proxymodul,
• ein Modul zur Erstellung und dem Versand von E-Mails via HTTPS,
• eine Bibliothek zur Überwachung, Analyse und Modifikation von via FTP und SMTP übertragener Daten,ein Modul zur Verarbeitung von Konfigurationsdaten und -vorlagen sowie
• ein Modul, das die zur Erstellung der Spam-Mails verwendete Skriptsprache implementiert.

Die Signatur für Trojan.Tofsee wurde in die Dr.Web-Virendatenbank eingetragen und stellt damit für Dr.Web-Anwender keine Gefahr mehr dar. Die Sicherheitsanalysten von Doctor Web warnen Anwender vor derartigen „Antivirus-Tools“ und fordern Sie auf, stattdessen bewährte Antivius-Software bekannter Hersteller zu installieren und diese stets aktuell zu halten.