Der SpamtaLoad.DO Trojaner ist das jüngste Mitglied der Spamta Familie, einer der aktivsten Malware-Familien der vergangenen Monate. Kurz nach seinem erstmaligen Erscheinen war der Trojaner für 40 Prozent aller infizierten Nachrichten im Internet verantwortlich.
Sowohl die E-Mail Betreffzeile („Error“, „Good day“, „hello“, etc.) als auch die angehangene, ausführbare Datei, die den Trojaner transportiert, variieren. Sobald die Datei ausgeführt wird, zeigt SpamtaLoad.DO entweder eine Fehlermeldung oder einen Text im Notepad an.
Der SpamtaLoad.DO Trojaner lädt zudem den Wurm Spamta.TQ aufs System, der wiederum den Trojaner an alle E-Mail Adressen, die er auf dem infizierten Rechner findet, versendet.
ArmyMovement.A erreicht den Computer auf zweierlei Weise: Entweder landet er per E-Mail im Postfach des Empfängers oder er wird über einen Datei Download aufs System geladen. Seine Aufgabe ist es, E-Mail Adressen zu sammeln, an die er einen Hoax sendet, in dem gemeldet wird, dass die türkische Regierung beschlossen hat, Soldaten und Beamten eine Gehaltserhöhung von 50 Prozent zu gewähren. Die Nachricht ist in türkischer Sprache verfasst.
Ein Hoax ist eine Falschmeldung, die per E-Mail, Instant Messenger oder anderen Wegen (SMS, MMS, etc.) verbreitet werden soll, um für erhöhten Traffic im Internet zu sorgen und schlimmstenfalls Webserver zu überlasten.
ArmyMovement.A verursacht mehrere Störungen auf infizierten Rechnern. Er verändert sowohl die Boot-Datei, um einen Hinweis zur Formatierung der Festplatte anzuzeigen, als auch die ntld-Datei und verhindert damit einen Neustart des Computers. Zudem überschreibt er Dateien mit diversen Erweiterungen (.jpg, .xls, .doc, .zip, …), um Daten unbrauchbar zu machen.
Der dritte Trojaner des heutigen Wochenberichtes ist Lozy.A. Er verbindet sich mit einem Remote Server und lädt eine ausführbare Datei herunter, welche die Adware „Errorsafe“ auf dem verseuchten Rechner installiert. Ebenso beendet Lozy.A die Prozesse von Sicherheits-Tools, um eine Erkennung zu vermeiden. Wie ArmyMovement.A verbreitet sich auch Lozy.A über E-Mail Anhänge und Downloads.
Neben den drei Trojanern machte auch der Wurm Muhi.A in der vergangenen Woche auf sich aufmerksam. Der Muhi-Wurm verändert die Startseite des Internet Explorers, schaltet Sicherheitsprogramme aus und kopiert seinen Code in alle Systemlaufwerke und Datenträger, wie beispielsweise USB-Sticks, um deren Inhalte zu löschen. Seine Verbreitung erfolgt über gemeinsam genutzte Ordner (Shared Folder) in den Dateien „I_LOVE_YOU.exe“ und „window shopper.exe“, die mit dem Notepad Symbol erscheinen, um den User zu täuschen.