Guter Trojaner: Dridex verteilt Virenscanner von Avira

Verkehrte Welt: Statt Trojaner zum Ausspähen von Bankdaten und Passwörtern verteilen Unbekannte zurzeit legitime Kopien der kostenlosen Antivirensoftware von Avira. Das teilte das Unternehmen selbst mit. Hinter der Aktion könnte ein White-Hat-Hacker stecken, also ein Hacker mit guten Absichten.

Im Oktober 2015 meldete das BKA die Zerstörung des für den Trojaner Dridex verantwortlichen Botnetzes. Mitarbeiter der US-Bundespolizei hatten den mutmaßlichen Kopf der Online-Kriminellen verhaftet.

Doch Dridex arbeitet weiter, weil noch immer Computer mit der Schadsoftware verseucht sind. Das Dridex-Botnetz verteilte in den vergangenen Jahren vor allem Banking-Trojaner über infizierte Word-Dokumente. Zu den Opfern gehörten laut Avira hauptsächlich Banken, darunter Deutsche Bank, die Sparda-Bank, Commerzbank sowie Sparkassen und Raiffeisenbanken.

Experten stehen vor Rätsel

Warum das Dridex-Botnetz statt Schadsoftware einen Virenhintergrundwächter verteilt, stellt die Experten vor ein Rätsel. Avira selbst vermutet, dass ein White-Hat-Hacker Teile des Botnetzes übernommen hat.

"Es gibt die Möglichkeit, dass ein White-Hat-Hacker infizierte Web-Server übernommen hat und dabei die gleichen Schwachstellen wie die ursprünglichen Malware-Autoren nutzte – und dann die bösartige Software mit dem Avira-Installer ausgetauscht hat", erklärt Moritz Kroll von Avira das Phänomen.

Virus bekämpft Virus

Schon einmal sorgte ein White-Hat-Hacker für Aufsehen. Nachdem im Jahr 2003 der Internet-Wurm Blaster Millionen Windows-Computer weltweit verseucht hatte, beschritt der Nachi-Wurm den entgegengesetzten Weg zum Blaster: Er entfernte nicht nur den Schädling, sondern schloss bei den Rechnern die noch bestehende Windows-Sicherheitslücke, um eine erneute Blaster-Infektion zu verhindern.

Weitere spannende Themen finden Sie auf unserer Digital-Startseite.