Ein ganz normaler Trojan-Dropper?

Vor einigen Tagen erhielten wieder einen Trojan-Dropper. (Trojan-Dropper.Win32.Agent.qp)

Bei seiner Analyse stellte sich heraus, dass er 4 Dateien in das System installiert – eigentlich eine normale Erscheinung, ein ganz gewöhnlicher Dropper. Interessant erschien jedoch die Tatsache, dass eine dieser 4 Dateien schon einst von uns als Trojan-Downloader.Win32.VB.jl detektiert wurde, und bezüglich der drei weiteren sagte uns der Scanner, dass diese mit Virus.Win32.Parite.b infiziert sind.

Wahrscheinlich wollte da jemand Virus Parite verbreiten? Dieser Virus ist schon mehrere Jahre lang bekannt und immer noch einer der verbreitesten klassischen Dateiviren. Eine zielgerichtete Verbreitung jedoch durch jemanden – so etwas hatten wir schon lange nicht.

Die Lösung des Rätsels erschien zugleich einfach und unerwartet. Wir reparierten den Virus aus diesen Dateien und fanden dann drei andere Trojaner-Downloader darunter versteckt – WinAD.c, IstBar.is und Small.aqt (auch schon längst von unserem Antivirus detektiert).

Sie alle sind für das Herunterladen verschiedener Werbemodule (Adware) auf die infizierte Maschine vorgesehen. Man kann also annehmen, dass derjenige, der den Dropper erstellt hat, offensichtlich selbst mit Virus Parite.b infiziert ist, dies jedoch nicht weiß.

Kann natürlich auch sein, dass dies eine eigenartige Methode ist, um die Erkennung durch verschiedene „anti adwarespyware“ -Programme zu verhindern, welche nicht fähig sind, gewöhnliche klassische Dateiviren zu erkennen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.