MÜNCHEN (COMPUTERWOCHE) - "Setiri" heißt ein Trojanisches Pferd, über das sich Windows-PCs unbemerkt ausspionieren lassen. Selbst durch den Einsatz von Firewalls lasse sich der Eindringling kaum stoppen, behaupten drei südafrikanische Wissenschaftler, die Setiri zu Demonstrationszwecken entwickelt haben, auf der Hackerkonferenz "Black Hat".

Bei der Verbreitung setzt der Trojaner auf altbekannte Mechanismen. Er kommt als E-Mail-Attachment oder verborgen in einer aus dem Netz geladenen ausführbaren Datei auf den PC. Einmal auf dem Rechner installiert, tarnt er sich allerdings geschickt. Denn er führt keinerlei Kommandos aus, anhand derer er zu entdecken wäre, so die Forscher.

Um seine Schadfunktion zu entfalten, setzt der Schädling auf eine Funktion des Internet Explorer (IE) auf: Der Browser öffnet für verschiedene Aktionen, zum Beispiel das Versenden von Registrierungsdaten, unsichtbare Instanzen. Auch das Mail-Programm Eudora nutzt diese Funktion, um HTML-Mails darzustellen. Ist so eine Instanz geöffnet, verbindet sich Setiri über den Anonymisierungsdienst Anonymizer.com mit einer Internet-Adresse, von der aus sich die Funktionen des Trojaners anzapfen lassen. Auf diese Weise können zum Beispiel Tastatureingaben mitprotokolliert und Passwörter ausgespäht werden.

Da die Verbindung anonym ist, hat das Opfer keine Möglichkeit, den Angreifer ausfindig zu machen. Und Firewalls schlagen keinen Alarm, weil die unsichtbare IE-Instanz regulär über den Standardport mit dem Netz verbunden ist, sagen die Entwickler. Folglich könne man sich nur schützen, indem man die Verbindung zu Anonymizer.com über die Firewall nicht zulässt. Allerdings seien Variationen von Setiri denkbar, die andere Anonymisierungsdienste nutzen.

Das Sicherheitsproblem wäre nur zu lösen, wenn Microsoft die entsprechende Funktion im Browser deaktiviert. Das würde jedoch auch reguläre IE-Aktionen verhindern, sagten Sicherheitsexperten. Microsoft will dennoch prüfen, ob sich die Lücke schließen lässt. (lex)