Sonys Kopierschutz öffnet Rechner für neue Trojaner-Familie

Die neu aufgetauchten Trojaner erhielten den Namen Breplibot.B und Breplibot.C. Bei den beiden Schadprogrammen handelt es sich um Backdoor-Programme, die zusätzlich als Bots arbeiten. Das bedeutet, dass sich die Breplibots nach der Infizierung mit verschiedenen IRC-Chat-Netzwerken verbinden und dort auf weitere Anweisungen warten. Ein Netzwerk aus derart infizierten Rechnern, ein so genanntes Botnet, lässt sich beispielsweise für das Versenden von Spam oder für Denial-of-Service-Attacken nutzen.

Breplibot.b ist eine Datei mit einer Größe von 10.240 Byte, die mit UPX gepackt ist. Beim Start kopiert sich der Schadcode unter dem Namen „$SYS$DRV.EXE“ in das Windows-Systemverzeichnis. Auf Grund der in diesem Artikel beschriebenen Rootkit-Technologie von Sony kann die so benannte Datei unerkannt bleiben. Die Tarnung erfolgt jedoch nur, wenn auf dem Computer der DRM-Schutz aktiviert ist, der auf einigen Sony Audio-CDs eingesetzt wird. Breplibot.C arbeitet genauso, besitzt aber weniger Bugs als sein Vorgänger.

Die Antivirenhersteller haben die Signatur ihrer Programme bereits um die Breplibot-Familie erweitert. Sollten Sie eine entsprechend geschützte Musik-CD von Sony BMG erworben haben, können Sie über dieses Webformular ein Programm anfordern, dass die Rootkit-Funktionen von XCP aufhebt. (mja)