Mytob.LX, ein Massenmailing-Wurm führt User in die Irre, indem er sie kurioserweise vor Internet-Bedrohungen warnt. Um weiterhin den Schutz einer Antiviren Lösung zu erhalten, werden sie aufgefordert, eine bestimmte Webseite zu besuchen und dort ihre E-Mail Adresse zu bestätigen. Ruft der Anwender die Webseite auf, wird die Datei „Confirmation_Sheet.pif“ herunter geladen und eine Kopie des Wurms auf dem Computer installiert.
Nachdem Mytob.LX den Computer befallen hat, sucht er im Adressbuch des Nutzers, den temporären Internet Dateien nach Daten mit bestimmten Dateiendungen. Indem er seine eigene SMTP Engine nutzt, versendet er sich weiter an die gefundenen Adressen. Dabei hängt er eine der folgenden Zusätze an die Mail-Domain, um SMTP Server zu kontaktieren:
gate, mail1, mail, mx, mx1, mxs, ns, relay und smtp.
Heimlich baut Mytob.LX eine Verbindung zum IRC Server auf und empfängt infolge dessen ferngesteuerte Befehle. Um unentdeckt zu bleiben, beendet der Wurm Prozesse von Antiviren Lösungen. Er verändert die Host-Datei, so dass der Anwender keine Möglichkeit hat, auf Seiten von Antivirenherstellern zuzugreifen.
Einer der beiden Trojaner, mit denen sich dieser Panda Wochenbericht befasst, ist Ryknos.G. Über E-Mails, Internet- oder FTP Downloads verbreitet er sich manuell. Eine Infizierung findet nicht statt, wenn der Computer den Namen „Sandbox“ trägt und als Nutzer „Current User“ angemeldet ist. Dies verhindert eine Ausführung und somit die Enttarnung auf Sandbox-Systemen. Ryknos.G führt folgende Aktivitäten auf dem infizierten Computer aus:
- Er setzt die Firewall außer Kraft und beendet Sicherheits-Prozesse
- Er verbindet sich mit IRC Channel #ran2 um Remote Anweisungen zu erhalten
- Er erstellt diverse Einträge in der Windows Registry, so dass er bei jedem Neustart aktiviert wird.
Der zweite Trojaner, der sich in dieser Woche verbreitet hat, ist Downloader.GPH. Eine Infizierung mit diesem Schädling ist besonders einfach zu erkennen, da er eine Fehlermeldung ausgibt, sobald der schadhafte Code installiert wurde. Weitere Details zu diesem Trojaner, seiner angezeigten Fehlermeldung sowie Informationen rund um alle aktuellen Bedrohungen finden Sie in der Panda Software Virendatenbank: http://www.pandasoftware.com/...