WinCE.Brador: Erste Backdoor für Windows CE

Das 5632 Byte große Programm öffnet den Port 2989 und erlaubt den Fernzugriff auf befallene PDAs. Der Trojaner kommt als Anhang einer Mail oder via ActiveSnyc-Verbindung mit dem PC. Ein Mechanismus zum selbstständigen Verbreiten fehlt dem Schadprogramm.

Nach dem Start erstellt das Backdoor-Programm seine eigene Verknüpfung mit dem Namen svchost.exe im Autostart-Ordner von Windows und erhält damit beim Starten des PDAs die Kontrolle über das System. Das Programm ermittelt die IP-Adresse des infizierten Geräts und sendet sie per E-Mail an den Virusautor mit dem Hinweis, dass der Schädling aktiv und am Netz ist. Danach öffnet er Port 2989 zum Empfang verschiedenster Befehle.

Die Hauptfunktion von WinCE.Brador.a besteht laut Kaspersky im Öffnen von Ports infizierter Pocket-PCs mit dem Ziel, dem Autor die maximale Kontrolle über das Gerät zu verschaffen. Interessant ist, dass der Virenautor "WinCE.Brador.a" als kommerzielles Programm vertreibt. Laut Kaspersky geht es hier nicht um Virenautoren, die ihr Können zur Schau stellen wollen, sondern um ein Programm mit allen für Backdoor-Programme typischen destruktiven Funktionen.

Den Ursprung des Tojaners vermutet Kaspersky in Russland, da die Information über den Virus in russischer Sprache gehalten ist und von einer russischen E-Mail-Adresse stammt. Die Virendatenbank wurde bereits auf den neuesten Stand gebracht, damit sollten aktualisierte Produkte den Schädling erkennen und beseitigen. (mja/uba)