Der Malware-Bericht von Panda Software konzentriert sich in dieser Woche auf die zwei Würmer “Sober.AH” und “Mops.A”, den Trojaner “Mitglieder.GB” sowie das Spyware-Programm “SpyMon”.
Millionen von E-Mails, die mit Sober.AH infiziert waren, verbreiteten sich vergangene Woche übers Internet. Die Sober-Variante entwickelte sich in dieser Zeit zu einer der häufigsten Internet-Bedrohungen, die von PandaActiveScan, der kostenlosen Antivirus-Lösung von Panda Software, aufgespürt wurden.
Anlass für die enorme Verbreitung des Internet-Wurms war insbesondere der Gebrauch von social engineering, also Täuschung des Anwenders, um die befallene Datei per E-Mail auf seinen Computer zu befördern. Die empfangene Nachricht ist mit verschiedenen Merkmalen sowie einem ZIP-Anhang versehen.Um die Aufmerksamkeit des Users zu wecken, nutzt Sober.AH einen Köder, der z.B. auf Videos von Paris Hilton und Nicole Richie anspielt oder Warnungen vor dem Zugriff auf illegale Internet-Seiten von FBI und CIA enthalten soll.
Sobald der Nutzer die angehangenen Dateien öffnet, infiziert der Wurm den Computer und zeigt eine getürgte Fehlermeldung an. Er beendet diverse Prozesse, darunter auch verschiedene Sicherheits-Programme mit der Nachricht “No viruses, Trojans or Spyware found! Status OK”. Ebenso erstellt er mehrere Dateien, welche unter anderem die Bezeichnung “SERVICES.EXE”, “CSRSS.EXE” und “SMSS.EXE” tragen und allesamt Kopien des Wurms sind. Wenn die letzten beiden durch den Computer laufen, erscheinen die verknüpften Prozesse als Abkömmlinge von SERVICES.EXE. Währenddessen wird zusätzlich ein legitimer Windows-Prozess gestartet, der den aufmerksamen Nutzer ablenken soll.
Die E-Mails sind entweder in deutsch oder englisch verfasst. E-Mail Adressen mit den Endungen .de (Deutschland), .ch (Schweiz), .at (Österreich) oder .li (Liechtenstein) enthalten einen deutschen Text. An alle anderen Adressen wird die englisch-sprachige Version versendet.
Um die Ausbreitung einzudämmen, stellt Panda Software allen Nutzern das Desinfizierungs-Tool “PQRemove” kostenfrei zur Verfügung. Das kleine Tool erkennt und desinfiziert den Wurm sorgfältig und kann von folgender Internetseite herunter geladen werden: http://www.pandasoftware.com/...
In der Rangliste der Internet-Bedrohungen, die von PandaActiveScan identifiziert wurden, wird Sober.AH in seiner Verbreitungsgeschwindigkeit von einem Trojaner, Mitglieder.GB, überholt: Er verfügt über keine eigene SMTP Engine und muss daher manuell verbreitet werden. Die derzeit bekannten Muster wurden per E-Mails mit verschiedenen Betreffzeilen und ZIP-Anhängen empfangen. Sobald dieser Trojaner auf dem Computer läuft, öffnet sich dem Betrachter ein vorgegebenes Bild mit einem Windows Logo auf weißem Hintergrund. Einmal installiert, versucht Mitglieder.GB alle vier Stunden via PHP eine Datei von verschiedenen Web-Seiten herunter zu laden, was wiederum weitere Malware aktivieren kann.
Ein weiterer Wurm kursierte vergangene Woche durchs Netz: Mops.A. Via Yahoo Messenger und AOL Instant Messenger versendet er sich innerhalb einer E-Mail mit einem verknüpften Link. Wird er angeklickt, lädt der Computer eine selbst-entpackende .RAR Datei mit Mops.AH und Sdbot.FAR Files sowie einer Toolbar für den Internet-Explorer herunter.
Erwähnenswert ist auch SpyMon, ein Spyware Programm, das u.a. eine Fernsteuerung des Computers sowie Keylogging (mitprotokollieren von Tastaturanschlägen z.B. Passwörtern) und Screendumping (Erstellung von Screenshots) ermöglicht.
Für weitere Informationen zu diesen Eindringlingen oder zu weiteren Internet-Bedrohungen, besuchen Sie bitte unsere Online-Virendatenbank: http://www.pandasoftware.com/...