Xombe - Trojaner tarnt sich als Windows-Update
In der englischsprachigen E-Mail, die den Schädling enthält, heißt es, dass eine Beta-Version von Windows XP installiert sei. Um dies zu beheben und Service Pack 1 zu installieren müsse lediglich die Datei winxp_sp1.exe ausgeführt werden, die im Anhang der Mail steckt. Damit der dort enthaltene Trojaner freie Bahn hat, wird in der Mail empfohlen, Antiviren-Software abzuschalten.
Startet ein gutgläubiger Benutzer das Attachement, nimmt Xombe Verbindung mit dem Internet auf und lädt die Datei msvchost.exe nach - und damit die Hauptkomponente des Trojaners nach.
F-Secure bezeichnet die Datei als Downloader-Applikation, die über eine bestimmte Webseite kontrolliert werde und mit deren Hilfe weitere Dateien aus dem Internet auf den infizierten Rechner herunter geladen werden könnten.
Nach Erkenntnissen des Antiviren-Spezialsiten hat Xombe über diese Webseite en Beffehl erhalten, die Datei http_f.dll auuf infizierte Clients zu laden. Der http-Client werde dann offenbar genutzt, um eine Distributed Denial-of-Service Attacke (DDoS) gegen eine Webseite zu starten, die Foren unterhält. Zusätzliche Informationen hat f-Secure hier zusammengestellt. Der Antivirenhersteller hat seine Signaturen bereits für die Abwehr von Xombe aktualisiert. (uba)