Warnung vor dem Skype-Wurm

BitDefender beschreibt den Schädling Backdoor.Tofsee als besonders raffiniert, weil er mehrere Tricks nutzt, um seine Erkennung und Entfernung zu verhindern.
Er erkennt die lokalen Systemeinstellungen (Land, Sprache, Aufenthaltsort) und spricht den User via Instant Message mehrmals in der entsprechenden Sprache (Deutsch, Englisch, Spanisch, Italienisch, Französisch und Italienisch) an. Die einzelnen Nachrichten unterscheiden sich.

Hinzu kommt gemäss BitDefender, dass die Nachrichten ausschliesslich während laufenden Konversationen des Anwenders mit einem seiner Skype-Kontakte versendet werden. Das soll die Glaubwürdigkeit erhöhen. Folgt der Nutzer dem infizierten Link, gelangt er auf eine gefälschte Rapidshare-Website. Fährt er mit dem Download-Prozess fort, erhält der User eine Datei mit der Bezeichnung «NewPhoto024.JPG.zip». Extrahiert das Opfer diese Datei, wird eine .exe-Datei angezeigt mit dem trügerischen Namen: «NewPhoto024.JPG_www.tinyfilehost.com»; eine Täuschung, denn die Endung «com» deutet zwar auf eine Website hin, verbirgt jedoch eine DOS-Anwendung, durch die sich der Wurm im System einnistet.

Ein Rootkit-Treiber versteckt alle Dateien, die auf eine Infektion von Backdoor.Tofsee schliessen lassen. Zusätzlich überwacht er die Internetaktivitäten des PC-Nutzers und verhindert den Zugriff auf Websites von Sicherheits-Software-Anbietern, Onlinescannern, Support-Foren und Windows-Update-Seiten. Nicht zuletzt verhindert der Schädling auch den Zugriff auf populäre Download-Portale, die Removal-Tools anbieten.

Nachdem Backdoor.Tofsee auf diese Weise erfolgreich das System kompromittiert hat, fügt er einen eigenen Autostart-Eintrag in der Windows-Registry hinzu. Dies ermöglicht ihm, Kopien von sich selbst auf Wechseldatenträgern wie USB-Sticks zu erstellen. Zudem deaktiviert er die Windows-Firewall und befähigt so einen Remote-Angreifer, sich mit der Backdoor-Komponente des Wurms zu verbinden. Die Rootkit-Komponente verhindert die Installation von sämtlichen Antivirenlösungen.