Bisher wurden Viren, Würmer und Trojaner, die sich in den Startup-Listen einnisteten, von Antiviren-Lösungen schnell erkannt, da sie lediglich eine Kopie von sich selbst erstellten. Der aktuelle Schädling Trojan.Dropper.UAJ kopiert jedoch die Original-Datei und setzt sich somit eine Art Maske auf. Somit führt er unbemerkt den Absturz des Windows-Betriebssystems herbei. Der Code der übernommenen DLL-Datei kann im System Benutzer hinzufügen oder löschen, Passwörter ändern sowie Berechtigungen und Dateien entfernen. Eine weitreichende Plattform erhält der Dropper dabei durch das Hijacking der Code-Bibliothek „comres.dll“ – verwendet in gängigen Internetbrowsern, Communicate Apps oder Netzwerk-Tools.

Die Vorgehensweise des Trojaners

Der Trojaner ergänzt den DLL-Klon mit einer zerstörerischen Funktion, die zu einem Malware-Befall im System führen kann. Die Malware legt das DLL-Plagiat im entsprechenden Windows- Ordner ab. Anschließend importiert der Trojaner die DLL-Datei in die feindlich übernommene Quellcode-Archivierung „comres.dll“. Dort droppt der Schädling die von Bitdefender als Backdoor Zxshell B identifizierte Datei “prfn0305.dat“. Mit diesem Schritt beginnt er die Kompromittierung, da durch das Verändern der Codes sämtliche Anwendungen zum Ausführen der E-Threats quasi gezwungen werden. Die Malware befällt das System ganzheitlich, sobald comres.dll aufgerufen wird.

Die vom Trojan.Dropper.UAJ betroffenen Betriebssysteme sind Windows 7, Windows Vista, Windows 2003 oder Windows NT in 32- und 64-Bit-Umgebungen.

Quelle: Bitdefender GmbH