Nurech.Z ist eine neue Variante des erstmals kurz vorm Valentinstag erschienenen Nurech.A-Wurms. Sorgte Nurech.A noch im Februar für einen orangenen Alarm, täuscht die Z-Version diesen an, um Infizierungen zu verursachen. Mit E-Mail Betreffzeilen, wie „Wurmalarm!“, „Spywarealarm!“ oder „Virenalarm“, warnt er vor einem sich angeblich rasant verbreitenden Eindringling. Die eingehende Nachricht gibt als Absender „Customer Support“ an – damit soll dem Empfänger eine vertrauenswürdige Quelle vorgegaukelt werden. Der Wurm ist in einer .zip-Datei im Anhang der E-Mail versteckt, die angeblich einen Patch zum Schutz vor dem entsprechenden Schädling enthält. Das Passwort zum herunterladen des Patches soll in der eingefügten .gif-Datei – und nicht in einer Text-Datei – enthalten sein. Um keinen Verdacht aufkommen zu lassen, wird dieser Umstand damit erklärt, dass das Passwort in der .gif-Datei vor der Malware geschützt wird. Wenn der User den Anhang öffnet, aktiviert er den Wurm, der direkt das System nach weiteren E-Mail-Adressen durchforstet, um sich an diese Spam artig zu versenden.
Der zweite Wurm ist UsbStorm.A. Er kopiert seinen Code auf mobile Datenspeicher, wie USB Memory Sticks, und aktiviert sich, sobald diese mit einem Computer verbunden werden. Dort verhält er sich „ruhig“, bis der nächste Datenträger angeschlossen wird, auf den er sich kopieren kann. Updates seines Codes lädt er von verschiedenen Webseiten herunter.
Der Trojaner Cimuz.EL installiert sich in zwei Schritten auf infizierten Systemen: Der erste Teil des Codes fungiert als Downloader. Ist er ins System eingedrungen, lädt er die weiteren Komponenten des Cimuz-Trojaners herunter, die dem eigentlichen Ausführen der Schadroutinen dienen. Sobald die Installation komplett abgeschlossen ist, protokolliert Cimuz.EL alle Internet-Aktivitäten des Users mit, um sensible Informationen (Usernamen, Passwörter, etc.) sowie Computer-Daten (IP, Hardware- und Software-Daten, Standort, etc.) zu speichern und an den Malware-Programmierer regelmäßig über einen Webserver weiter zu versenden. Er ist so entwickelt, dass er sowohl die auf dem Rechner gespeicherten Daten aufspürt als auch die vom Nutzer im Internet eingetippten Angaben aufnimmt. Um den Internet Traffic überwachen zu können, bindet der Trojaner eine DLL (Dynamische Bibliothek) in den Internet Explorer ein.
Auch der Trojaner Gogo.A macht sich – sobald er in ein System eingedrungen ist – auf die Suche nach Gewinn einbringenden Daten. Um diese zu erhalten, installiert er ein Zusatzprogramm im Internet Explorer und zeichnet die Tastaturanschläge des Users auf. Gogo.A setzt Rootkit-Eigenschaften ein, um von ihm initiierte Prozesse zu verheimlichen und eine Erkennung durch Sicherheits-Tools zu vermeiden.
Alle Computer-Nutzer können auf der neuen Panda Software Website „Infected or Not?“ (www.infectedornot.com) anhand eines kostenfreien Online-Scans innerhalb kürzester Zeit feststellen, ob ihre Systeme infiziert sind oder nicht.