Der Panda Software Malware Wochenrückblick

Viren

In dieser Woche waren die auffälligsten Malware-Exemplare die Würmer
Netsad.D“ und „Nuwar.A“ sowie der Backdoor Trojaner
Nixfeld.A“.

Auf die ganz klassische Weise versucht der Wurm
Netsad.D eine Erkennung durch Sicherheitsprogramme zu vermeiden: Er
beendet die dazugehörigen Prozesse. Diese Technik ist Teil der traditionellen
Verbreitung von Schädlingen. Dadurch verheimlicht der Wurm nicht nur seine
Präsenz, sondern macht auch das System für weitere Angriffe anfällig. Durch das
Ändern von System-Konfigurationen verhindert er ebenso den Zugriff auf Webseiten
von IT Sicherheitsunternehmen.
Netsad.D nutzt gleich zwei Verbreitungsmethoden: Die erste Methode ist
der Versand über E-Mails. Dabei weckt er die Neugierde des Users mit spannenden
Betreffzeilen („Ich habe Dein Passwort“ oder „“Alte Fotos von Dir“) oder anhand
von Fehlermeldungen („Deliver Error“ oder „Deliver Mail). Die wahre
Absender-Adresse wird dabei natürlich getarnt und stattdessen eine yahoo-Adresse
verwendet. Der Code des Wurms befindet sich dabei in einer angehangenen Datei
mit variierendem Namen (Mail.pif, readme.html.cmd, etc.).

Die zweite
Methode ist die Verbreitung über P2P Netzwerke. In diesem Fall transportiert der
Wurm seinen Code, indem er eine Kopie in verschiedenen Dateien, beispielsweise
bei Emule, KaZaA oder Morpheus, versteckt und aufmerksamkeitsstarke
Bezeichnungen (PornoPic.scr oder FunGame.flash.exe) nutzt, um den User zum
Öffnen dieser Dateien zu verleiten.

Obgleich weniger effektiv, nutzt der
zweite Wurm des Wochenberichtes, Nuwar.A, eine sehr ähnliche
Verbreitungsstrategie. Während Netsad.D jedoch über 350 verschiedene
Prozesse im Speicher beenden kann, schafft es Nuwar.A gerade mal 15
Prozesse abzubrechen. Dafür bietet er eine größere Variation beim Einsatz von
gefälschten Absender-Adressen und Domains. Der Betreff steht immer in Beziehung
zu einem politischen Thema, wie dem dritten Weltkrieg, oder historischen
Personen wie Bush oder Putin.

Abschließend widmet sich der heutige Panda
Software Malware Wochenrückblick einem Backdoor Trojaner, der die
Kontrollübernahme von betroffenen Systemen durch den Hacker initiiert:
Nixfeld.A. Folgende Aktivitäten führt er aus:

– Speichern von
Tastaturanschlägen
– Erfassen von Screenshots
– Dateitransfers
– An-
und Abschalten des Computers
– Starten einer Chat Session mit dem infizierten
Computer
– Öffnen der CD-ROM Ablage
– Bestimmen eines Passworts zum
Herstellen einer Verbindung mit dem Computer
– Überprüfen des generierten
Netzwerk Traffics
– Ausführen seines Codes – jedes Mal, wenn eine Session
begonnen wird
– Deaktivieren des Task Managers

Nixfed.A ist ein
extrem gefährliches Malware-Exemplar, da er vertrauliche Daten und Abläufe, wie
Bank-Transaktionen, mitprotokolliert.

-

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.