21. Mai 2001
Das Trojanische Pferd Eurosol umgeht nach Erkenntnissen
des russischen Anti-Virus-Software-Herstellers 
Kaspersky
Labs bewusst den Schutz durch die Desktop Firewall
AtGuard. Eurosol tarnt sich dem Anwender gegenüber als
Werbe-Bonus-Programm und verspricht nach dem Betrachten von 15
Werbebannern eine Gutschrift. Unter der Hand durchsucht der
Trojaner die Festplatte nach geheimen Daten für das
Online-Bezahlsystem WebMoney und übermittelt
ausspionierte Daten an einen FTP-Server.
Eine neue Qualität zeigt der Eindringling in Bezug auf installierte PC-Schutzsoftware: Eurosol prüft, ob die Desktop Firewall AtGuard das befallene System sichert, und manipuliert gegebenenfalls die AtGuard-Einstellungen in der Registry, um dennoch ohne Alarm oder Benutzereingriff eine FTP-Übertragung vornehmen zu können. AtGuard erlaubt oder verhindert den Aufbau von Internet-Verbindungen nicht nur per Port- und IP-Nummer, sondern regelt den Netzzugang applikationsspezifisch: Auch wenn beispielsweise ein installiertes ftp.exe auf den entsprechenden Ports ohne Rückfrage übertragen kann, darf das NetBios32.exe eigentlich nicht (unter diesem Namen registriert sich das Trojanische Pferd in befallenen 32-Bit-Windows-Systemen).
Es steht zu befürchten, dass ein derartiger aktiver Angriff
gegen die Konfiguration von Desktop Firewalls Schule macht und
künftig beispielsweise auch in Windows-Hintertür-Software
(Backdoor Trojans) zu finden sein wird. Ob die
Firewall-Konfiguration auf Windows-Systemen sicher zu schützen
ist, bleibt abzuwarten. Laut Symantec-Analyse sind die
Symantec Desktop Firewall und die Norton Personal
Firewall, die beide auf AtGuard-Software basieren, von Eurosol
nicht betroffen. Das dürfte allerdings im Wesentlichen am
Namen des verwendeten Registry-Keys liegen.