Schädliches Pärchen

Vor einigen Tagen tauchten auf verschiedenen Websites im russischen Internet, die Software für Smartphones und Handhelds verbreiten, Beschwerden darüber auf, dass praktisch alle neuen CAB-Dateien (komprimierte Archive für Smartphones mit dem Betriebssystem Windows Mobile) zwei „überflüssige“ ausführbare Dateien enthalten. Dabei traten beide Dateien in Archiven mit völlig unterschiedlichen Programmen und Spielen auf.

Es überrascht nicht, dass beide Dateien sich als schädlich erwiesen. Bei der ersten Datei, die im System unter der Bezeichnung srvupdater1.exe installiert wird, handelt es sich in Wirklichkeit um einen Trojan Downloader, der als Trojan-Downloader.WinCE.MobUn.a detektiert wird. Die zweite Datei (wird im System unter dem Namen msservice.exe installiert) ist ein SMS-Trojaner, der als Trojan-SMS.WinCE.MobUn.a erkannt wird.

Beide Trojaner erhalten ihre Arbeitsparameter von einer URL des Typs http://m*******t.ru/index.php?******=param.

Trojan-SMS.WinCE.MobUn versucht sich mit dieser URL zu verbinden und lädt – ist dieser Versuch erfolgreich – Informationen von dem oben beschriebenen Link. Die geladen Daten sehen folgendermaßen aus:

  • param1 = 9;
  • param2 = 1;
  • param3= 1121;
  • param4= 2*************s;
  • param5=.

Dabei bezeichnet param1 das Intervall zwischen den SMS, param2 die Trojanerversion, param3 die Nummer, an die die SMS geschickt wird (in diesem Fall wird die Mitteilung an die Nummer 1121 geschickt, wobei jede umgerechnet etwa 9 Cent kostet); param4 steht für den SMS-Text und param5 für die URL zum Download einer neuen Version des Trojaners.

Als dieser Blog geschrieben wurde war param5 nach wie vor leer.

Was den Downloader Trojan-Downloader.WinCE.MobUn betrifft, so lädt er dieselben Informationen von derselben URL, allerdings ist dieser Schädling an param5 interessiert. Ist diese Position nicht leer, so lädt der Trojaner über den in param5 angegebenen Link die neue Version von Trojan-SMS.WinCE.MobUn, woraufhin er die alte Version des SMS-Trojaners löscht und die Ausführung der neuen startet:

SMS-Trojaner, die Informationen für Ihre Arbeit von einem entfernten Server der Cyberkriminellen laden, sind nicht Neues. Bereits im Jahr 2008 trafen wir auf Schädlinge für mobile Geräte, die versuchen, neue Dateien von einem entfernten Server zu laden (Worm.WinCE.InfoJack war diesbezüglich ein Pionier). Doch mit dem Auftauchen eines Trojan-Downloaders in Verbindung mit einem SMS-Trojaner ist ein weiterer Schritt in der Entwicklung der Schadprogramme für mobile Geräte vollzogen worden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.