Xombe - Trojaner tarnt sich als Windows-Update

Antivirenspezialist F-Secure warnt vor einem neuen Trojaner namens Xombe, der sich seit Freitag stark verbreite. Der Schädling tarnt sich als E-Mail-Nachricht von Microsoft mit dem Betreff "Windows XP Service Pack 1 (Express) - Critical Update".

In der englischsprachigen E-Mail, die den Schädling enthält, heißt es, dass eine Beta-Version von Windows XP installiert sei. Um dies zu beheben und Service Pack 1 zu installieren müsse lediglich die Datei winxp_sp1.exe ausgeführt werden, die im Anhang der Mail steckt. Damit der dort enthaltene Trojaner freie Bahn hat, wird in der Mail empfohlen, Antiviren-Software abzuschalten.

Startet ein gutgläubiger Benutzer das Attachement, nimmt Xombe Verbindung mit dem Internet auf und lädt die Datei msvchost.exe nach - und damit die Hauptkomponente des Trojaners nach.

F-Secure bezeichnet die Datei als Downloader-Applikation, die über eine bestimmte Webseite kontrolliert werde und mit deren Hilfe weitere Dateien aus dem Internet auf den infizierten Rechner herunter geladen werden könnten.

Nach Erkenntnissen des Antiviren-Spezialsiten hat Xombe über diese Webseite en Beffehl erhalten, die Datei http_f.dll auuf infizierte Clients zu laden. Der http-Client werde dann offenbar genutzt, um eine Distributed Denial-of-Service Attacke (DDoS) gegen eine Webseite zu starten, die Foren unterhält. Zusätzliche Informationen hat f-Secure hier zusammengestellt. Der Antivirenhersteller hat seine Signaturen bereits für die Abwehr von Xombe aktualisiert. (uba)