Duisburg, 4.November 2005
Aus aktuellem Anlass beschäftigt sich der Wochenrückblick dieses Mal mit den vier Varianten des Trojaners „Mitglieder“. Die Varianten (FK, FL, FN und FM) des Trojaners der sich via E-Mail verbreitet infizieren weltweit Systeme. Des Weiteren schauen wir uns den Wurm Bagle.FN an.
Den Auswertungen des kostenfreien Online Virenscanners „Panda ActiveScan“ (www.activescan.com) zufolge breiten sich die „Mitglieder“-Varianten um den Globus weiter aus. Der erste Schädling „Mitglieder.FK“ verbreitet sich via E-Mail mit einer leeren Betreffzeile und enthält im Textbereich die Worte „Texte“ oder „Info“.Im Dateianhang befindet sich eine zip-Datei die unterschiedliche Bezeichnungen, z.B. „Health_and_knowledge.zip“, „Txt_sms.zip“, „Max, Business.zip“, „The_new_price, Info_prices or Business_dealing.zip“ haben kann. Diese Datei beinhaltet eine ausführbare Datei (.exe) die den Trojaner startet sobald sie ausgeführt wird.
„Mitglieder.FK“ und die Varianten „FL“ und „FN“ nutzen php Skripte und versuchen eine Datei von verschiedenenen Web-Seiten herunter zu laden. Sobald der Download erfolgreich war, wird die Datei in dem Ordner „EXEFLD“ im Windowsverzeichnis abgelegt und gestartet. Die Dateibezeichnung ist eine zufällig generierte Zahl. Des weiteren wird die Datei „HLOADER_EXE.EXE“, eine Kopie des Schädlings erstellt, die wiederum die Datei „HLEADER_DLL.DLL“ beim nächsten Systemstart erzeugt. Diese Datei infiziert die Datei „EXPLORER.EXE“ und ist verantwortlich für die eigentlichen Aktionen des Trojaners. Die „FM-Variante“ verhindert außerdem noch den Zugriff auf diverse Webseiten. In den meisten Fällen Internetauftritte bekannter Antivirenhersteller und blockiert System-Dienste von Sicherheitslösungen wie bsp. Antivirenprogramme und Firewalls.
Abschließend wollen wir einen Blick auf den Wurm Bagle.FN werfen. Dieser Schädling sendet eine Kopie des Trojaners „Mitglieder.FK“ an alle Adressen die er auf dem infizierten System findet. Bagle.FN verbreitet sich via E-Mail indem er versucht den User zu täuschen. Der Dateianhang gibt sich als nützliches Programm, Bild o.ä. aus. Die Verbreitung kann ebenfalls über das Internet erfolgen indem er zufällig ausgewählte IP Adressen nach offenen Ports absucht um verwundbare Systeme zu entdecken.
Bagle.FN versucht diverse Dateien von unterschiedlichen Internetseiten herunter zu laden um anschliessend weitere Malware auf dem System zu installieren.