Erster Trojaner für Pocket-PCs gesichtet: Experten waren vor mobiler Virenepidemie

Der erste destruktive Trojaner für Pocket-PCs ist aufgetaucht. Das Backdoor-Programm "WinCE.Brador.a" wurde vom russischen IT-Sicherheitsexperten Kaspersky Labs entdeckt. Wie das Unternehmen mitteilte, breitet sich der Trojaner auf den PDA-Betriebssystemen Windows Mobile und Windows CE aus. "WinCE.Brador.a ist ein echtes Schadensprogramm", so Eugene Kaspersky, Leiter der Anti-Viren-Forschung bei Kaspersky Labs. Nimmt die Evolution der PDA-Viren den gleichen Verlauf wie die der PC-Viren, drohe eine "Virenepidemie für mobile Geräte", so Kaspersky.

"Die Entdeckung des ersten Trojanerprogramms für PDAs bestätigt unsere Befürchtungen, die wir bereits bei der Analyse des ersten konzeptuellen Virus für Mobiltelefone und für das Betriebssystem Windows Mobile geäußert haben", so Kaspersky. Das IT-Unternehmen hat Mitte Juni den ersten konzeptuellen Wurm für Smartphones entdeckt, der jedoch keine gefährlichen Eigenschaften hatte. WinCE.Brador.a weise aber alle typischen destruktiven Funktionen eines gefährlichen Virus auf. Kaspersky Labs geht davon aus, dass sich "der Viren-Untergrund in naher Zukunft auf das Schreiben von Viren für mobile Geräte verlegen wird". Die Entwicklung erinnere an die Evolution der PC-Viren, was für User mobiler Geräte nichts Gutes bedeutet.

Die Hauptfunktion des Programms bestehe darin, dem Autor die maximale Kontrolle über das infizierte Gerät zu verschaffen. Nach dem Start erstellt WinCE.Brador.a eine Verknüpfung mit dem Namen svchost.exe im Autostart-Ordner von Windows und erhält so beim Starten des PDAs die Kontrolle über das System. Danach übermittelt der Trojaner die IP-Adresse des infizierten Gerätes per E-Mail an den Virenautor. Danach öffnet er Port 2989 und wartet auf Befehle seines Schöpfers. Eine Prozedur zum Erkennen und Löschen des Trojaners ist bereits in der Anti-Viren-Datenbank von Kaspersky Labs zu finden. Detaillierte Informationen über den Virus können bereits in der Viren-Enzyklopädie unter http://www.viruslist.com abgerufen werden. (pte/red)