Ein Fall von Industriespionage, in den etliche renommierte Unternehmen verwickelt sein sollen, machte Anfang der Woche die Runde (wir berichteten). Ein Spionage-Programm spielte darin eine wesentliche Rolle. Zum Zeitpunkt der Berichterstattung wurde das Programm von der überwiegenden Zahl der Antivirus-Programme noch nicht erkannt.
Das hat sich mittlerweile geändert: Derzeit werden 17 bekannte Varianten des Programms mit Namen wie "Pinka", "Mdrop", "Hotworld" oder "Hotword" erkannt. Für Verwirrung sorgten dann gestern in Online-Meldungen verbreitete Angaben aus der Beschreibung von Sophos, wie unsere Schwesterzeitschrift PC-Welt berichtet.
Darin wird angegeben, dass das Spionage-Programm im System-Verzeichnis die Dateien dao360.dll, mscomm.ocx, msinet2.ocx, mswinsck.ocx und sys2003.sys anlege und man den Spion entfernen könne, indem man diese Dateien lösche. Tatsächlich handelt es sich bei den fraglichen Dateien normalerweise um harmlose Systemdateien, deren Existenz keinerlei Hinweis auf einen Schädling darstellt.
Wird das Spionage-Programm installiert, ersetzt es vermutlich diese Dateien durch manipulierte Versionen. Nach Angaben von McAfee kann " PWS-Hotworld ", so der Name bei McAfee, Dateien herunter laden und ausführen, Bildschirmfotos speichern, Tastatureingaben protokollieren, Systeminformationen auslesen, die Konfigurationdaten von Programmen wie Outlook und ICQ ermitteln und laufende Prozesse beenden. Gesammelte Informationen werden dann per Mail verschickt.
Die Beschreibung von Symantec listet zudem noch weitere Funktionen auf, die abhängig von einer per FTP bezogenen Konfigurationsdatei ausgeführt werden können. Dazu gehören das Suchen nach Office-Dokumenten und kürzlich veränderten Dateien, die Überwachung besuchter Web-Adressen, die Manipulation von Firewall-Einstellungen und der Neustart des PC.
Nach der Installation legt Pinka / Hotworld eine Datei " svchost.exe" (mit Leerzeichen am Anfang!) im System-Verzeichnis von Windows an und trägt sich in die Windows-Registry ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"regedit" = "%System%\ svchost.exe ccRegVfy"
Es ist sehr unwahrscheinlich, dass sich dieses Spionage-Programm auf einem privaten PC befindet. Wer meint, er habe Grund zu diesem Verdacht, sollte nicht vorschnell Dateien aus dem Windows-Verzeichnis oder dessen Unterverzeichnissen löschen.
Vielmehr sollten man einen oder mehrere Virenscanner mit neuesten Updates die komplette Festplatte durchsuchen lassen oder zumindest die Systempartition. Die meisten Antivirus-Programme erkennen inzwischen etliche Varianten der Spyware. Antivir etwa erkennt mit aktuellem Update alle bekannt gewordenen Versionen, ebenso Kaspersky (und somit auch F-Secure, Gdata AVK und Escan). (cm)