Romantischer Wurm im Netz unterwegs

Viren

In dieser Woche widmet sich der Panda Software Rückblick auf die vergangenen sieben Tage dem Wurm Ridnu.C sowie den beiden Trojanern Evilx.A und Clagge.G.

Der Ridnu.C Wurm-Programmierer zeigt mit seiner Kreation  Sinn für Romantik. Hauptsächlich macht sich der Wurm in infizierten Systemen bemerkbar, indem er liebevolle Mitteilungen, wie beispielsweise „dear my princess, I wanna take you to my place“ oder „I miss you cute smile“, im Notepad hinterlässt und beim Öffnen der Anwendung anzeigt. Auf dem Desktop hinterlegt er zudem eine Datei mit dem Namen „Message for my princess“.
Wenn der Anwender versucht auf die Option „Ausführen“ im Start-Menü zu klicken, schreibt Ridnu.C eine weitere Nachricht (MR. COOLFACE) und hindert ihn daran.

Während der User mit dem Lesen der Nachrichten beschäftigt ist, öffnet der Wurm das CD-Laufwerk und schaltet den Monitor abwechselnd innerhalb von einigen Sekunden an und aus.

Ridnu.C verbreitet sich in E-Mails, die er selber erstellt. Die angehangene Datei hat verschiedene Namen. Darunter „Sahang dan Timah.scr“, „Bangka Island.scr“ und „Pantai Pasir Padi.scr“.

Die Vorgehensweise von Ridnu.C haben die PandaLabs in einem Video dargestellt.

Beide Trojaner des heutigen Wochenberichtes installieren sich nicht nur selber in fremde Systeme, sie laden auch weitere Malware herunter.   Um ein Tor für weitere Schädlinge zu öffnen, verändert der Trojaner Evilx.A die Einträge in der Windows Registry, welche die Firewall betreffen. Dann greift er auf eine bestimmte Website zu und lädt Malware herunter. Um einer Erkennung entgegenzuwirken, tritt der Trojaner in Kombination mit gleich zwei Rootkits auf. Diese verdecken die Prozesse, Einträge und die Dateien, die Evilx.A anlegt.

Clagge.G hingegen verwendet verschiede URLs, um eine Kopie des Trojaners Cimuz.BE vom Internet zu laden. Cimuz.BE sammelt daraufhin vertrauliche Informationen und Bankdetails vom infizierten Rechner.

-

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.