Einige Spammer machen sich mit Trojanischen Pferden an den privaten PCs der Internetsurfer zu schaffen. Jedoch keine sonst doch so üblichen Trojaner, die den vollen Zugriff auf das System ermöglichen oder um Passwörter auszuspähen. Vielmehr geht es darum, über infizierte PCs Spam-Mails zu verschicken.
Derartige Trojaner (z.B. Prox-Guzu) ermöglichen den Versand von E-Mails über das infizierte System. Zunächst schickt das Trojanische Pferd eine E-Mail an eine vordefinierte E-Mailadresse. Diese E-Mail enthält die IP-Adresse und geöffneten TCP Port des zu schädigenden Systems. Der Trojaner nimmt nicht immer den gleichen Port, sondern nach einem Zufallsprinzip.
Damit der Trojaner auch bei jedem Systemstart erneut ausgeführt wird, erfolgt auch ein Autorun - Eintrag in der Registry unter:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "Services" = Name und Pfad des Trojaners
Je mehr Systeme ein Spammer mit diesem Trojaner infiziert, desto mehr Spam-Nachrichten könnten über verschiedene PCs verschickt werden. Denn nur ein infiziertes System mit einem Modem - Internetzugang wäre für eine grosse Spamwelle sicherlich zu wenig.
Schnell stellt sich die Frage, warum einige Spammer diesen doch etwas umständlicheren Weg gehen um Ihren "Mailschrott" in fremden Mailboxen abzuladen. Viele Spamfilter blocken eingehende Spamnachrichten schon anhand der IP-Adressen von berühmt, berüchtigten Mailservern, worüber seit langer Zeit Spam verschickt wird. Kein Mailprovider wird jedoch Mails, anhand der IP-Adressen von grossen Onlineprovidern blocken wie z.B. aus Deutschland T-Online, AOL oder Freenet.
Wie bereits erwähnt, die Mails werden dann nicht über diese Onlinedienste verschickt, sondern direkt von dem infizierten System, der praktisch als Mailserver fungiert.
Betroffene Anwender könnten sogar eine Menge Ärger bekommen, wenn ein Spamempfänger Anzeige erstattet. Die IP wird beim Mailversand übertragen und der jeweilige Onlineprovider, dem die IP zugeordnet ist, kann sehr schnell festellen, welcher Kunde diese IP-Nummer zu dem Zeitpunkt des Spamversands benutzt hat. Der Kunde muss sich dann erst mal rechtfertigen, den Spam nicht selber und vor allem nicht absichtlich verschickt zu haben. Spamversand ist in den Allgemeinen Geschäftsbedingungen bei keinem seriösen Onlineprovider erlaubt.
Bleibt nur zu hoffen, dass sich diese Art der Spammerei nicht durchsetzt. Denn das Nachsehen haben unschuldige Internetsurfer, da Rückverfolgungen der Spamnachrichten immer bei ihm enden werden.
Virenbeschreibung McAfee (englisch)
Originalbericht bei SecurityFocus (englisch)
