Wie schon sein „großer Bruder“ Spamta.LZ, der Anfang November zum ersten Mal im Netz entdeckt wurde, tritt der Wurm Spamta.NB in Kombination mit einem Trojaner, in dem Fall SpamtaLoad.BL, auf. Die beiden Schädlinge verseuchen nicht nur gemeinsam Computer, sie transportieren sich auch gegenseitig, um in einem zirkulierenden Modus ihre Verbreitung zu sichern. Während Spamta.NB den Trojaner SpamtaLoad.BL im Anhang einer E-Mail verbreitet, installiert der sich auf dem betroffenen System, um daraufhin den Wurm herunter zu laden. Der wiederum versendet vom infizierten Computer weitere Nachrichten samt Trojaner im Anhang. Das wiederholt sich bei jedem neuen Rechner, der von den beiden Eindringlingen anvisiert wird. Dabei variieren sowohl die Betreffzeile als auch der Nachrichtentext und der Name der verseuchten Datei.
Spamta.NB fügt verschiedene Dateien im Windows Adressbuch und in der Windows Registry hinzu. Der 110,592 Bytes große Wurm ist für den User schwer zu erkennen, da er keine Nachrichten oder Warnungen anzeigt.
Der zweite Wurm, mit dem wir uns im heutigen Rückblick befassen, ist Foamer.A. Dabei handelt es sich um einen Wurm, der zu keiner bekannten Schädlings-Familie gehört und sich über Netzwerke auf verschiedenen Rechnern verbreitet. Er führt folgende Aktivitäten aus:
- Er lädt verschiedene Arten von Dateien mit schädlichem Inhalt herunter
- Er schaltet den Windows Task Manager und den Registry Editor aus
- Er versendet eine E-Mail mit allen relevanten Informationen über den infizierten Rechner, wie User- und Computername, an den Wurm-Autor
- Beim Öffnen der CMD Konsole zeigt er die Nachricht „THE WORLD-WIDE DON’T ACCEPT COMMAND PROMPT!!!“ an und schließt die Konsole
- Er hinterlegt Kopien seines Codes im Windows Adressbuch und im Windows System-Adressbuch
Abschließend widmet sich der Panda-Bericht über die Malware-Aktivitäten der vergangenen Woche dem Trojaner Banker.FJI. Wie der Name es schon sagt, wird dieser als digitaler Bankräuber für Online-Banken, wie Banco de Brasil, Bradesco oder Itau eingesetzt. Der Trojaner überwacht den gesamten Internet-Traffic, um Zugangsdaten für die genannten Banken zu stehlen und seinen Programmierer per E-Mail damit zu versorgen. Floppy Disks, CD-ROMs, E-Mail Anhänge, Internet Downloads, Dateiübertragungen via FTP, IRC Channels und P2P File Sharing Netztwerke dienen Banker.FJI zur Verbreitung. Eine Infektion durch den Trojaner ist nicht leicht zu erkennen, da er keine sichtbaren Anzeichen hinterlässt.