Der Sicherheitsexperte H+BEDV http://www.antivir.de berichtet vom ersten Trojaner, der die
Kopierschutzsoftware XCP von Sony ausnutzt. Gerät
Ryknos.A bei seiner Verbreitung an einen Rechner, auf dem XCP installiert ist,
so kann er sich auf dem betroffenen System verstecken. Für den Anwender wird er
damit unsichtbar und verbleibt unbemerkt auf dem System, teilt H+BEDV mit.
"Das Gefahrenpotential des Schadprogramms ist aber eher gering", sagte Adela
Kohl, Sprecherin von H+BEDV, im pressetext-Gespräch. Jedoch ist damit den
Hackern der Beweis gelungen, dass die Rootkit-Funktion von XCP ausgenutzt werden
kann, um Viren zu verbreiten. Der Trojaner ist in der Lage aus seinem Versteck
heraus Verbindungen zu IRC-Servern aufzubauen, und so eine Hintertür für weitere
Angriffe zu öffnen.
Die Funktionsweise des Trojaners ist klassisch.
Aktiviert vom ahnungslosen User, kopiert sich TR/IRC.Ryknos.A unter dem Namen
$sys$drv.exe in das Windows-Systemverzeichnis und legt einen Registry-Eintrag
an. "Neu ist, dass der Trojaner XCP als Tarnkappe verwendet und sich dadurch
verstecken kann", so Kohl. XCP versteckt grundsätzlich sämtliche Dateien und
Prozesse, die mit $sys$ beginnen, vor dem Anwender.