Die Neuerungen des Service Pack 2 von Windows XP macht sich eine jetzt entdeckte Variante des Dropper-Trojaners zunutze, die sich derzeit verbreitet. Die Antiviren-Spezialisten von Microworld haben eine Warnung vor Traxg-C veröffentlicht, der sich per Mail-Attachment verbreitet.
Einmal aktiviert, zeigt Dropper in unregelmäßigen Abständen eine gefakte Warnung, die den Sicherheitswarnungen von Windows XP ähnelt. Zusätzlich wird eine 10716 Bytes große CHM-Datei erstellt, die bei Aufruf eine Website mit schädlichem Code anwählt. Wird der Wurm gestartet, fügt er folgenden Registry-Eintrag ein:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TempCom
"path to worm"
Der Trojaner modifiziert außerdem die Einstellungen des Internet Explorers, indem er mehrere vorhandene Registry-Einträge verändert. Ferner zeigt er ein Fenster mit dem Text 'Warning This Folder Has Been Damage!' an.
Er erstellt außerdem die Datei C:\FOLDER.HTT, die ebenfalls als Traxg-C erkannt wurde. Diese Datei nutzt die 'Microsoft VM ActiveX Component'-Schwachstelle aus, um weitere Codes auszuführen. Die Schwachstelle erlaubt einem HTML-basierenden Script auf die System-Dateien oder die Registry zuzugreifen, ohne die üblichen ActiveX Sicherheits-Bestimmungen beachten zu müssen. Weitere Informationen finden Sie im Microsoft Security Bulletin MS00-075.
Für betroffene Systeme hat Microworld ein Removal-Tool bereit gestellt.
Mit Traxg-C infizierte Systeme zeigen in unregelmäßigem
Abstand diese gefakte Sicherheits-Warnung an.
Lesermeinungen zum Artikel