Beschreibung
Eine häufig verwendete Methode, Trojanische Pferde oder
andere Schäden verursachende Software zu verbreiten, ist,
sie als neue Version einer beliebten Sharware zu verpacken
und zum Download zu Verfügung zu stellen, in der Hoffnung,
dass Anwender das Programm herunterladen und starten.
Aufgrund seiner Beliebtheit ist das Shareware-Archivierungs-
und Komprimierungsprogramm PKZip ein häufiges Angriffsziel.
Die letzte Version einer Trojaner-Version von PKZip erschien
1995. Im Mai diesen Jahres, warnte PKWare davor, dass eine gefälschte
Version von PKZip verbreitet wird. Der Trojaner war in einem
sich selbst entpackenden Archiv namens PKZ300B.EXE enthalten
und gab vor, eine neue Version des Programms zu sein.
Das sich selbst entpackende Archivprogramm an sich war
harmlos. Es sollte jedoch den schwachen Versuch starten,
die Dateien einer legalen PKZip-Version,
und ein Programm, PKZINST.EXE, das der Trojaner war, zu duplizieren.
Wenn es gestartet wird, versucht es, Laufwerk C: zu formatieren
und alle Dateien auf C: zu löschen. Aufgrund von Fehlern in
seinem Code, funktionieren diese Schäden verursachenden
Effekte jedoch nicht.
Um jede Verwechslung zu vermeiden, hat PKWare entschieden,
keine Version mit dieser Nummer zu veröffentlichen. Wenn Sie
eine Datei sehen, die angibt PKZip, Version 3.0.0b zu sein,
ist dies keine echte Version.
Auch wenn die Warnung über die trojanisierte PKZip echt ist
(wobei das Programm aufgrund von Fehlern eigentlich nicht
gefährlich ist), stand die darauf folgende Hysterie in keinem
Verhältnis zu der Gefahr.
Sophos und die meisten anderen Antiviren-Hersteller hatten
mit niemandem Kontakt, der von diesem Trojaner betroffen war.
Es haben sich jedoch zahlreiche Anwender an uns gewandt, die
aufgrund dieser weit verbreiteten Warnung, die regelmäßig
wieder auftaucht, besorgt waren.
Zusammengefasst: Obwohl es sich um einen echten Trojaner
handelt, stellte PKZ300B.EXE keine größere Gefahr dar, als
er neu war, und tut dies auch jetzt nicht.