Vor einem ungewöhnlichen Trojaner warnt Doctor Web. Er verschickt nicht nur Spam-Mails, sondern verfügt über eine ungewöhnliche Funktion: er löscht andere Malware vom infizierten Rechner und ist dabei erstaunlich gut. Verbreitungswege des Schadprogramms sind Skype, soziale Netzwerke und Wechseldatenträger. Trojan.Tofsee verbreitet sich mittels eines Moduls, welches der Trojaner vom Server der Cyberkriminellen herunterlädt. Es erweckt den Anschein, dass kompromittierende Fotos und Videos des Users im Internet verfügbar seien. Die versandten Nachrichten enthalten einen Link zu der Seite, auf denen sich das potenzielle Opfer die Fotos und Videos ansehen kann. Dazu wird der Anwender aufgefordert, ein Plug-in herunterzuladen, hinter dem sich Trojan.Tofsee verbirgt. Zum Versand der E-Mails an Twitter und Facebook verwendet der Schädling Daten aus den Cookies von Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari oder Google Chrome. In Skype verwendet das entsprechende Modul die Steuerung im Applikationsfenster. Es kann sogar den CAPTCHA-Schutz in Facebook umgehen. Ein weiteres Modul dient dem Trojaner zur Verbreitung über Wechseldatenträger. Dazu legt das Modul eine ausführbare Datei von Trojan.Tofsee in den Papierkorb und erstellt im Root-Verzeichnis die Autostart-Datei autorun.inf. Die Infektion erfolgt dann auf Befehl des Kommando-Servers. Ein weiteres Modul holt Updates des Trojaners vom Schadserver. Ungewöhnlich ist, dass der Trojaner über eine Antivirus – Funktion verfügt, mit der er andere Schadprogramme vom Rechner des Opfers entfernt. Zweck der Sache ist allerdings der Versand von Spam-Mails, die aus Vorlagen auf dem Schadserver erstellt werden. Ist eine Verbindung zum Server aufgebaut, erhält der Trojaner Dechiffrier-Schlüssel. Danach schickt er Daten an den Kommando-Server und erhält Befehle, die später ausgeführt werden sollen. Hervorzuheben ist, dass der Trojaner für die Erstellung der E-Mails eine eigene Skriptsprache verwendet - eine sehr seltene Eigenschaft eines Trojaners. Trojan.Tofsee kann derzeit 17 Module vom Kommando--Server herunterladen. Dazu gehören folgende Funktionen:
• ein Modul zur Überprüfung von Adressen
• ein Modul für DDoS-Angriffe (HTTP Flood und SYN Flood),
• ein Modul, das den verschlüsselten Trojan.PWS.Pony.5 enthält,
• ein Modul zum Mitschneiden von Daten des Microsoft Internet Explorer,
• ein Modul zur Verarbeitung grafischer Daten,
• ein Modul zur Gewinnung von E-Mail-Adressen aus dem Internet Account Manager und PstoreCreateInstance, ein Modul zum Herunterladen und Installieren von Trojan.BtcMine.148 (einem Bitcoin-Miner), welches Trojan.BtcMine.148 auch mit allen nötigen Parametern versorgt,
• ein Modul, welches im Verzeichnis System32Drivers den Trojaner Trojan.Siggen.18257 als Datei mit zufälligem Namen und der Erweiterung .sys installiert und startet,
• ein HTTP- und SOCKS5-Proxymodul,
• ein Modul zur Erstellung und dem Versand von E-Mails via HTTPS,
• eine Bibliothek zur Überwachung, Analyse und Modifikation von via FTP und SMTP übertragener Daten,
• ein Modul zur Verarbeitung von Konfigurationsdaten und -vorlagen sowie
• ein Modul, das die zur Erstellung der Spam-Mails verwendete Skriptsprache implementiert
Doctor Web warnt ausdrücklich vor derartigen "Antivirus-Tools" und empfiehlt, stattdessen bewährte Antivirus-Software bekannter Hersteller zu installieren und diese stets aktuell zu halten. Die Signatur für Trojan.Tofsee wurde in die Dr.Web-Virendatenbank eingetragen und stellt damit für Dr.Web-Anwender keine Gefahr mehr dar.
• ein Modul zur Überprüfung von Adressen
• ein Modul für DDoS-Angriffe (HTTP Flood und SYN Flood),
• ein Modul, das den verschlüsselten Trojan.PWS.Pony.5 enthält,
• ein Modul zum Mitschneiden von Daten des Microsoft Internet Explorer,
• ein Modul zur Verarbeitung grafischer Daten,
• ein Modul zur Gewinnung von E-Mail-Adressen aus dem Internet Account Manager und PstoreCreateInstance, ein Modul zum Herunterladen und Installieren von Trojan.BtcMine.148 (einem Bitcoin-Miner), welches Trojan.BtcMine.148 auch mit allen nötigen Parametern versorgt,
• ein Modul, welches im Verzeichnis System32Drivers den Trojaner Trojan.Siggen.18257 als Datei mit zufälligem Namen und der Erweiterung .sys installiert und startet,
• ein HTTP- und SOCKS5-Proxymodul,
• ein Modul zur Erstellung und dem Versand von E-Mails via HTTPS,
• eine Bibliothek zur Überwachung, Analyse und Modifikation von via FTP und SMTP übertragener Daten,
• ein Modul zur Verarbeitung von Konfigurationsdaten und -vorlagen sowie
• ein Modul, das die zur Erstellung der Spam-Mails verwendete Skriptsprache implementiert
Doctor Web warnt ausdrücklich vor derartigen "Antivirus-Tools" und empfiehlt, stattdessen bewährte Antivirus-Software bekannter Hersteller zu installieren und diese stets aktuell zu halten. Die Signatur für Trojan.Tofsee wurde in die Dr.Web-Virendatenbank eingetragen und stellt damit für Dr.Web-Anwender keine Gefahr mehr dar.
