Kombinierte Attacken, bei denen die Merkmale und Eigenschaften verschiedener
Schädlinge für einen Angriff genutzt werden, tauchen immer häufiger auf. In der
vergangenen Woche gab es verschiedene Verbindungen bei denen u. a. klassische
Viren mit Wurm- und Trojaner-Funktionalitäten und Würmer mit
Rootkit-Technologien kombiniert wurden.
Hier eine kleine Übersicht der
Schädlinge, die in der vergangenen Woche aktiv waren:
Nabload.TH
Typ: Trojaner
Größe: 44,544
bytes
Erschienen am: 7.11.2006
Bedrohungslevel:
gering
Verbreitung: Floppy Disks, CD-ROMs, E-Mail Anhänge, Internet
Downloads, FTP, IRC, P2P, File Sharing Networks, etc.
Nabload.TH
verbindet sich mit bestimmten Webseiten und lädt den Trojaner Banker.FFX auf das
infizierte System. Beim Laden des Schädlings lenkt er den User ab, indem er die
Webseite http://www.dail<blocked>ion.com aufruft und einen Video-Clip
anzeigt. Zudem legt er im Windows System-Adressverzeichnis die Datei
ATUALIZACAO.EXE an.
Banker.FFX
Typ:
Trojaner
Größe: 954,899 bytes
Erschienen am:
07.11.2006
Bedrohungslevel: mittel
Verbreitung: Wird vom
Trojaner Nabload.TH auf den infizierten Rechner geladen
Sobald Banker.FFX
aktiviert ist, versendet er eine E-Mail an seinen Programmierer, um ihn über die
erfolgreiche Infektion zu informieren und ihm die MAC Adresse zur genauen
Identifizierung des betroffenen Rechners mitzuteilen. Seine Aufgabe besteht
darin, den generierten Internet Traffic zu überwachen, bis sich der User mit der
Webseite der Online Services der Banken Banco de Brasil, Bradesco, HSBC,
Internet Banking Caixa und Itau verbindet, um seine Bankdetails zu kopieren.
Damit der Trojaner Username und Passwort speichern kann, führt er den Anwender
nicht auf die im Browserfenster eingegebene Adresse, sondern auf eine gefälschte
Seite. Die gestohlenen Zugangsdaten landen in der Datei WINDOWS.INI im Windows
Adressbuch.
Spamta.LZ
Typ: Wurm
Größe:
131,072 bytes
Erschienen am: 08.11.2006
Bedrohungslevel:
mittel
Verbreitung: Wird herunter geladen vom Trojaner SpamtaLoad.BE.
Besonders raffiniert: Ebenso lädt Spamta.LZ den Trojaner SpamtaLoad.BE auf
infizierte Rechner.
Eine Art Teufelskreis für betroffene Anwender kommt
durch den Einsatz der beiden Trojaner Spamta.LZ und SpamtaLoad.BE zustande.
SpamtaLoad.BE versteckt sich in einer Datei, die an eine E-Mail angehangen ist
und eine doppelte Erweiterung enthält. Der Trojaner ist für den User nicht
sichtbar, da er keine Warnungen oder Nachrichten anzeigt, die auf seine Präsenz
deuten könnten. Zudem variieren Betreffzeile, Nachricht und Name der Datei, die
den Trojaner transportiert, was eine Erkennung zusätzlich erschwert. Sobald
SpamtaLoad.BE auf dem System installiert ist, lädt er den Spamta.LZ-Trojaner
herunter, der wiederum die Dateien MSSERRV32.EXE, MSSERRV32.DAT und
MSSERRV32.WAX in der Windows Registry erstellt und für seine weitere Verbreitung
sorgt, indem er eine E-Mail versendet, in der der Trojaner SpamtaLoad.BE
enthalten ist.
Radoppan.A
Typ:
Virus
Erschienen am: 06.11.2006
Bedrohungslevel:
gering
Verbreitung: Über Netzwerke und E-Mails
Das
Radoppan.A-Virus verfügt nicht nur über Merkmale seiner eigenen Malware-Art,
sondern auch über Wurm-Charakteristika. Zudem bedient er sich der Eigenschaften
eines Rootkits, nämlich Krpan.D, um seine Prozesse, Dateien und Registry
Einträge zu verheimlichen. Das Radoppan-Virus infiziert alle ausführbaren
Dateien, die es auf dem verseuchten System findet.