Hanau, 2. Februar 2012

Der Sicherheitsspezialist Doctor Web warnt vor der neuen Familie von Trojan.OneX-Schädlingen, die bei der Infizierung eines Computers Spam-Mails an Facebook-Nutzer verschicken. Zur Zeit stehen zwei Modifikationen dieses Trojaners fest, die sich in ihren Funktionen unwesentlich unterscheiden. Die Anzahl der Opfer kann bei einer solchen Verbreitungsmethode außerordentlich hoch sein.

Trojan.OneX funktioniert nur unter einer 32-Bit-Version von Windows. Unter einer 64-Bit-Version bricht er nach dem Herunterladen einer Text-Datei vom Verwaltungsserver ab. Nach dem Starten auf einem infizierten PC überprüft Trojan.OneX.1 das Betriebssystem auf seine Kopien und entschlüsselt danach eine Adresse des Remote-Servers, von dem eine spezielle Text-Datei heruntergeladen wird. Diese Datei enthält einige Zeilen in der englischen Sprache, wie z.B. hahaha! http://goo.gl[…].jpeg, die danach statt Nachrichten, die von Facebook-Benutzern im Netzwerk hinterlassen werden, auftauchen. Die Nachrichten werden durch Zeilen aus dieser Datei ausgetauscht. Stündlich lädt der Trojaner eine neue Konfigurationsdatei vom Remote-Server herunter.

Trojan.OneX.1 sucht im Betriebssystem nach gestarteten Prozessen mit den Namen firefox, iexplore und IEXPLORE, schleust sich ein und blockiert Funktionen, die für die Absendung von Nachrichten verantwortlich sind.

Nachdem die erste Variante des Trojaners in die Hände der Virenanalysten von Doctor Web gelangt ist, ist ein weiterer Schädling aufgetaucht, der Trojan.OneX.2 heißt. Im Vergleich zur ersten Variante, nutzt die zweite Version von Trojan.OneX beliebte Messaging-Programme durch Prozesse pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk und xfire.exe aus. Beim Verschicken von Nachrichten werden Maus und Tastatur des infizierten Computers blockiert. Im Vergleich zu Trojan.OneX.1 kann Trojan.OneX.2 auf Konfigurationsdateien in einer Unicode-Kodierung zugreifen.

Unter den durch Trojaner verschickten Nachrichten sind auch Links zu gefälschten Websites wie RapidShare zu finden. Dem Benutzer wird u.a. angeboten, ein ZIP-Archiv mit einer JPEG-Datei herunterzuladen, wo sich in der Tat die ausführbare Datei Photo14.JPG.scr (Trojan.Packed.22289) befindet, wo BackDoor.IRC.Bot.1446 eingeschachtelt ist. Dieser Trojaner eröffnet den Übeltätern nicht nur die Hintertür zum infizierten PC, sondern auch kann vertrauliche Daten klauen und an den infizierten PC verschiedene Befehle für das Starten und die Installation anderer Anwendungen versenden. Bemerkenswert ist es, dass die Verbreitung von Trojanern auch durch BackDoor.IRC.Bot erfolgt, den gefährlichsten Schädling der Trojan.OneX-Familie, die ihrerseits die Verbreitung von BackDoor.IRC.Bot fördert.

Die entsprechenden Signaturen sind in die Dr.Web Virendatenbank bereits eingetragen worden. Die Anwender von Dr.Web Antivirensoftware sind sicher geschützt und brauchen sich keine Sorgen um ihre Sicherheit zu machen.