Sicherheitsexperten haben im November 2005 den ersten Trojaner entdeckt, der die Eigenschaften der kommerziellen AudioCD-Kopierschutz-Software XCP (eXtended Copy Protection), der vor allem vom Label Sony BMG eingesetzt wird, missbraucht: Gerät der Trojaner namens Ryknos.A bei seiner Verbreitung an Rechner, die diese Software installiert haben, kann er sich auf dem betroffenen Windows-System verstecken. Für den Anwender ist er damit nicht sichtbar und bleibt unbemerkt auf dem System.
Das erst kurz zuvor in den Markt eingeführte XCP war ohnehin bereits stärker in die Presse geraten, weil es eine versteckte Kopierschutz-Software auf den PC installiert, sobald eine AudioCD bestimmten Fabrikats in den PC eingelegt wird. Dieser versteckte Kopierschutz ist das, was den Trojaner so gefährlich macht: Sollte der Computeranwender die 10.240 Bytes große Exe-Datei ausführen, kopiert sich TR/IRC.Ryknos.A in das Windows-Systemverzeichnis unter dem Dateinamen "$sys$drv.exe" und legt einen Registry-Eintrag an.
Sollte die Kopierschutz-Software XCP auf dem Rechner installiert und aktiv sein, wird der Trojaner von der Software versteckt gehalten. Grundsätzlich verbirgt die Software sämtliche Dateien und Prozesse vor dem Anwender, die mit dem Kürzel "$sys$" beginnen, und weist somit Rootkit-Technologie auf. Außerdem ist der Trojaner aus seinem Versteck heraus in der Lage, Verbindungen zu unterschiedlichen IRC Servern aufzubauen.
|