Letzte Woche wurde bekannt, dass in Israel mit Hilfe eines, eigens für Industriespionage entwickelten Trojaners, monatelang mehrere Konkurrenzunternehmen ausgespäht und belauscht wurden. Zu den Auftraggebern sollen nach Angaben israelischer Ermittlungsbehörden unter anderem die Mobilfunk-Provider Cellcom und Pelephone, der Satelliten-TV-Anbieter Yes sowie der Mineralwasserabfüller Tami-4 gehören. In diesem Zusammenhang wurden bereits 20 Personen, darunter sieben Manager der verdächtigen Unternehmen und auch der Urheber des Trojaners, Michael Haephrati, verhaftet.
Wie im Heise-Ticker zu lesen ist, wird der Trojaner mittlerweile von einigen Virenscannern erkannt. Administratoren können so überprüfen, ob auch Rechner in ihrem Netzwerk von dem Schädling befallen sind und ausgespäht wurden. Bisher sollen aber nur die Scanner von AntiVir, BitDefender, eTrust-INO, Fortinet, Ikarus, Kaspersky, McAfee, Panda, Sophos und VirusBuster den Schädling erkennen. Zwischenzeitlich wurde auch bekannt, dass der Schädling noch weitere Abkömmlinge hat. Leider sind sich die Hersteller der Antiviren-Programme wieder einmal nicht einig, wie sie den Schädling zu benennen haben. So wurde der Trojaner Hotword oder Hotworld mit verschiedenen Suffixes getauft. Es zeigen sich aber immer noch erhebliche Unterschiede zwischen den Herstellern.
Laut Beschreibung von Sophos legt der in VB programmierte Trojaner die fünf Dateien dao360.dll, mscomm.ocx, msinet2.ocx, mswinsck.ocx und sys2003.sys im Ordner System32 ab. Das Vorhandensein einer oder mehrerer Dateien auf dem System ist aber nicht zwingend ein Hinweis auf eine Infektion. Einige der Dateien sind Bestandteil von Windows, die der Trojaner offenbar gegen manipulierte Versionen austauscht. Wie die einzelnen Komponenten zusammenarbeiten, geht aus der kurzen Analyse nicht hervor.
Mit dem Trojaner lassen sich Rechner komplett fernsteuern. Der Trojaner übermittelte laut LKA Texte und Firmendaten von Geschädigten übers Internet an ftp-Server. Im aufgedeckten Fall sind beispielsweise - "teilweise im Minutentakt" - Screenshots von den befallenen Rechner übermittelt worden, so die Ermittlungsbehörden.
