PandaLabs nimmt in seinem Wochenrapport die Würmer Oscarbot.IV, Peerbot.B und Netsad.B unter die Lupe.
Der
Wurm Oscarbot.IV öffnet auf den infizierten Computern verschiedene
Kommunikationsanschlüsse, was den Angreifern ermöglicht von aussen auf
die betroffenen Systeme zuzugreiffen. Gleichzeitig wird der Trojaner
Protestor.A auf dem System hinterlegt, welcher Screenshots festhalten
und Anwenderdaten entwenden kann. Oscarbot.IV verbreitet sich über
America On Line Instant Messenger, indem Nachrichten an alle aktiven
Kontakte gesandt werden. Sobald aktiviert, installiert es sich auf dem
System als Dienstleistung mit dem Namen “Windows Genuine Advantage
Validation Notification“, die vorgibt eine Microsoft Anti-Piraten
Dienstleistung zu sein, und sich bei jedem Aufstarten des Systems
aktiviert.Peerbot.B öffnet eine Hintertür um die Befehle des Angreifers via IRC
empfangen zu können. Peerbot.B ist in der Lage Daten von SQL Servern
oder Mysql Datenbanken auf dem Computer zu entwenden, welche alsdann
via Email gesandt werden. Sobald aktiviert erstellt der Wurm auf dem
System verschiedene Dateien, wie Taskdrv.exe (eine Kopie des Wurms
selber) und ein Archiv genannt Libmysql.dll, welche zu der Mysql
Datenbank gehört. Peerbot.B verbreitet sich via Email oder über P2P
Programme mit gemeinsam möglichem Datenzugriff. Es erstellt zahlreiche
Dateien in der allgemein zugänglichen Ablage von P2P Programmen unter
Namen, die auf bekannte Applikationen und Spiele hinweisen. Andere
Anwender der P2P Programme könnten bei einem Search auf die infizierten
Dateien des ursprünglichen Opfers stossen. Um zu verhindern aufgedeckt
zu werden beendet Peerbot.B eine lange Liste von Arbeitsvorgängen,
hauptsächlich in Verbindung mit Sicherheitsprogrammen, Firewalls oder
sogar anderer Malware. Zudem werden die Host Dateien verändert um
Zugriffe auf Webseiten in Verbindung mit Sicherheitsprodukten zu
vermeiden.
Netsad.B verbreitet sich als Email Anhang von
Nachrichten mit dem Titel “sharing files is the essence of living”. Es
benützt verschiedene P2P Applikationen, einschliesslich Kazaa oder
Emule, und hinterlegt Kopien von sich selber in der allgemein
zugänglichen Ablage damit es von anderen Anwendern heruntergeladen
werden kann. Netsad.B funktioniert ausschliesslich auf Computern mit
Microsoft .NET framework 2.0. Sobald aktiviert erstellt es im Windows
System Folder eine Kopie von sich selber mit dem Namen
winservices.cab.bak.exe, sowie in den anderen Systemlaufwerken eine
ganze Serie von Eigenkopien mit unterschiedlichen Namen (teilweise auf
andere Antivirenprogramme hindeutend). Um unentdeckt zu bleiben beendet
der Wurm Arbeitsvorgänge in Verbindung mit Sicherheitsprogrammen und
macht den Computer somit anfällig für weitere Angriffe.