Der Panda Security Bericht zu den Malware-Aktivitäten der vergangenen Woche widmet sich in der heutigen Ausgabe den beiden Trojanern HostChange.B und Ceckno.J sowie den Würmern Perwall.A und Radulambu.C.
Der Trojaner HotChange.B nutzt die seit langem schon bekannte und trotzdem immer noch erfolgreiche Social Engineering Technik, um sich über E-Mails zu verbreiten. Als Absender der Nachricht erscheint fälschlicherweise eine bekannte venezolanische Nachrichtenagentur, die in der Mail den angeblichen Tod von Hugo Chavez, dem Präsidenten von Venezuela, verkündet. Der Trojaner versteckt sich nicht im Anhang, sondern in einem im Fließtext der Mail enthaltenen Link, der zu einem Video mit den detaillierten Informationen zu den Todesumständen des Präsidenten führen soll. Da Hugo Chavez entgegen der Meldung nicht tot ist, existiert das entsprechende Video auch nicht – ganz im Gegensatz zum HotChange.B-Trojaner, der durch das Klicken auf den Link herunter geladen wird. Er modifiziert die Host Datei des Computers und ersetzt die Webseite eines bekannten venezolanischen Finanzunternehmens durch eine manipulierte Seite, um vertrauliche Daten von betroffenen Usern abzufangen.
Beim zweiten Trojaner, Ceckno.J, handelt es sich um einen Schädling, der Downloader Komponenten und Backdoor Funktionalitäten kombiniert. Seine Aufgabe ist es weitere Malware auf infizierte Rechner zu laden. Sobald er auf einem Computer installiert ist, erstellt er Kopien seines eigenen Schadcodes und beginnt damit verschiedene Ports zu überprüfen, bis er einen Backdoor herunter laden kann oder die Anzahl der möglichen Versuche (15) erreicht. Dabei testet er einen Port nach dem anderen in numerischer Reihenfolge. Ist der Backdoor im System, wird der Downloader inaktiv, um seine Anwesenheit nicht durch Infektionssymptome zu verraten.
Die beiden Würmer, die in der vergangenen Woche zu den aktivsten Schädlingen zählten, haben einige Gemeinsamkeiten. Sowohl Perwall.A als auch Radulambu.C verbreiten sich über gemappte Laufwerke und kopieren sich in verschiedene Bereiche von verseuchten PCs. Beide Schädlinge legen die Datei „autorun.inf“ sowie mehrere Einträge in der Windows Registry an. Während Perwall.A mit den Registry-Einträgen dafür sorgt, dass er bei jedem Neustart des Computers aktiviert wird, dienen sie Radulambu.C dazu, die Internet Explorer Title Bar zu verändern und die Recovery System Funktionen abzuschalten oder die Datei-Erweiterungen zu verstecken.
Perwall.A erstellt zusätzlich die Datei „Boom.vbs“. Der Wurm macht sich bemerkbar, indem er den Ordner c:\windows\web\wallpaper, in welchem Desktop Wallpaper Bilder gespeichert sind, öffnet.
Radulambu.C hingegen kopiert seinen Code unter verschiedenen Bezeichnungen zudem in den Ordner „Image“ im Laufwerk C. Erkennen kann man den Wurm daran, dass er sich in einer Bilddatei mit dem Namen „Palma.exe“ verbreitet.