Im heutigen Wochenbericht dreht sich alles um drei Trojaner und zwei Würmer.
Bancos.GW
Mit dem Trojaner Bancos.GW infiziert man sich z.B. beim Besuch von unseriösen Webseiten oder bei Webseiten mit pornografischem Inhalt. Einmal installiert beobachtet er die Internetaktivitäten des Users, gibt der bestimmte Schlüsselwörter ein oder besucht spezielle Seiten von Banken erscheint eine Pop-Up Nachricht.
Die Meldung scheint eine Warnung der Bank an den User zu sein. Es wird um eine Identifikation gebeten um sicher zu stellen, dass man Mitglied im Bankinternen Secure Identification System (SSL) ist. Es wird um die Registrierungsdetails gebeten und sobald der User auf OK klickt sendet der Trojaner die Daten an einen anderen Server.
Bancos.GW verbreitet sich nicht automatisch, zurzeit ist er lediglich als ein Dateidownload von einer Webseite registriert, das bedeutet jedoch nicht, dass er nicht auch andere Verbreitungswege einschlagen kann. Massenmailing oder File Sharing Systeme sind ebenfalls denkbar.
PGPCoder.B
Der Trojaner PGPCoder.B verschlüsselt Dateien auf dem infizierten Rechner und bietet dann ein Programm zum Kauf an um den Originalzustand wiederherzustellen.
Diese neue Variante ist leistungsfähiger als sein Vorgänger, da er mehr Dateitypen infizieren kann. Word oder Outlook, sowie komprimierte Formate wie zip, rar oder arj sind kein Problem für PGPCoder.B.
Der Trojaner kann sich nicht selber weiter verbreiten sondern ist direkt auf seinen Autor angewiesen. Die Verbreitung kann auf vielen verschiedenen Wegen eingeleitet werden: Internet Downloads, FTP, P2P File Sharing Netzwerke …
Startet der User die Datei von PGPCoder.B verschlüsselt er alle Dateien mit bestimmten Endungen, die er auf dem Rechner finden kann. Zusätzlich hinterlässt er eine Textdatei mit folgender Nachricht:
Some files are coded.
To buy decoder mail: md56@mail.ru
with subject: PGPcoder md56
Anschließend werden diverse Einträge in der Windows Registry vorgenommen, z.B. die Anzahl der Dateien, die er verschlüsselt hat. Schließlich zerstört er sich selbst indem er eine selbstausführende Deinstallationsdatei für PGPCoder.B erstellt.
Panda Software Lösungen erkennen und eliminieren PGPCoder.B nicht nur sondern sorgen auch für die Wiederherstellung der infizierten Dateien.
Mitglieder.DQ
Dieser Trojaner greift IT Security Tools wie Firewall oder Antivirenprogramme an und beendet Ihre Prozesse. Außerdem löscht er die Einträge ihrer Konfigurationsdetails aus der Registry. Weiterhin versucht er die Datei ASA3.gif herunter zu laden, welche weitere Malware enthalten könnte, jedoch war der Download zum Zeitpunkt als dieser Artikel geschrieben wurde nicht möglich.
Die beiden Würmer des heutigen Reports sind bots. Diese Art Malware hat Backdooreigenschaften, ist speicherresistent und wartet im Rechner auf weitere Kommandos. Bots können für koordinierte Attacken oder zum Aussenden von Spam missbraucht werden.
Oscarbot.AY
Empfängt Kommandos über einen IRC Server, die vom Download und Start eines Code sowie updaten des eigenen Codes bis hin zur Selbstzerstörung reichen können. Als Verbreitungsmittel hat er sich den AOL Instant Messenger (AIM) ausgesucht über den er sich an alle gespeicherten Kontakte weiter versendet.
Codbot.AP
Dieser Wurm handelt ähnlich wie Oscarbot.AY allerdings sucht er auch noch nach Schwachstellen im Windows System: LSASS und RPC-DCOM. Er kann außerdem alle Tastaturanschläge aufzeichnen um an vertrauliche Passwörter zu gelangen oder persönliche Informationen wie Kreditkartendaten oder Bankdetails zu stehlen.
Für weitere Informationen besuchen Sie die Panda Software Enzyklopädie: http://www.pandasoftware.com/...