Der Wochenbericht von Panda Software bietet eine Vielfalt an verschiedenen Malware Exemplaren. Besonders auffällig in der heutigen Ausgabe des Virenreports ist die Dominanz der Viren. Waren sie in den vergangenen Wochen kaum bis gar nicht vertreten, schaffen es in dieser Woche gleich zwei neue Muster, „ASPLux.A“ und „Dengis.A“, in den Malware Rückblick. Der Trojaner „Snifsteal.A“ und das unerwünschte Programm „Prokeylogger“ runden den Bericht ab.
„ASPLux.A“ ist ein Virus, das keine destruktive Ladung trägt. Sein Hauptanliegen ist es seinen Code in ASPX Dateien, die Bestandteil vieler Webseiten sind, zu hinterlegen. Findet das Virus die entsprechenden Dateien im Netz, fügt es dort seinen Code hinzu. Auf diese Weise werden einige der ASPX Dateien für den User unbrauchbar. Infizierte Dateien werden markiert („), um eine erneute Infizierung zu verhindern.
Damit endet das Intermezzo auf dem befallen Computer jedoch nicht. Das Virus sucht im Adressbuch des befallenen Rechners nach weiteren ASPX Dateien, um auch dort seinen Code einzusetzen. Gewöhnlich findet der Infektionsvorgang über folgende Kanäle statt: Floppy Disc, E-Mail Nachricht mit Anhang, Internet Download, Dateiübertragung über FTP, IRC Channels, P2P File Sharing Netzwerke, etc.
Das zweite Virus, das Panda in dieser Woche beschäftigt, ist „Dengis.A“. Auch dieses schädliche Exemplar hat keine zerstörerischen Eigenschaften. Es infiziert Quelldateien im mathematischen Berechnungsprogramm „Matlab“. Zu diesem Zweck legt es über die „actxserver“ Funktion ein COM Objekt an und ermöglicht das Ausführen von Codes, die nicht Bestandteil des Virus sind. Dengis.A besitzt eine pseudo-polymorphe Verschlüsselung, die einen XOR Vorgang nutzt und bei jeder Infektion einen variierenden Schlüssel einsetzt.
Der Trojaner „Snifsteal.A“ besteht aus einer modifizierten Version der Mozilla Erweiterung „NumberedLinks 0.9“. Diese Mozilla-Komponente dient dazu, direkte Links auf die Webseite zu integrieren. Passwörter für das ICQ Instant Messaging Programm, den FTP Server, IMAP und POP3 Mail Clients, die vom User eingetippt werden, speichert der Trojaner im Falle einer erfolgreichen Infektion und versorgt seinen Programmierer damit. Unter „http://81.96.133/...“ kontrolliert er dann, ob die Informationen schon herunter geladen wurden.
Der heutige Wochenbericht endet mit dem unerwünschten Programm „Prokeylogger“. Schafft es das Programm, sich in fremde Systeme einzunisten, führt es folgende Funktionen aus: Es überwacht Desktops, Webcams, Zwischenablagen, E-Mails, Chats und Instant Messages. Ferner erfasst das Programm Tastaturanschläge, besorgt Passwörter und Screenshots, die es in einer Log-Datei speichert und später via E-Mail oder FTP im RTF oder HTML-Format versendet.
„ASPLux.A“ ist ein Virus, das keine destruktive Ladung trägt. Sein Hauptanliegen ist es seinen Code in ASPX Dateien, die Bestandteil vieler Webseiten sind, zu hinterlegen. Findet das Virus die entsprechenden Dateien im Netz, fügt es dort seinen Code hinzu. Auf diese Weise werden einige der ASPX Dateien für den User unbrauchbar. Infizierte Dateien werden markiert („), um eine erneute Infizierung zu verhindern.
Damit endet das Intermezzo auf dem befallen Computer jedoch nicht. Das Virus sucht im Adressbuch des befallenen Rechners nach weiteren ASPX Dateien, um auch dort seinen Code einzusetzen. Gewöhnlich findet der Infektionsvorgang über folgende Kanäle statt: Floppy Disc, E-Mail Nachricht mit Anhang, Internet Download, Dateiübertragung über FTP, IRC Channels, P2P File Sharing Netzwerke, etc.
Das zweite Virus, das Panda in dieser Woche beschäftigt, ist „Dengis.A“. Auch dieses schädliche Exemplar hat keine zerstörerischen Eigenschaften. Es infiziert Quelldateien im mathematischen Berechnungsprogramm „Matlab“. Zu diesem Zweck legt es über die „actxserver“ Funktion ein COM Objekt an und ermöglicht das Ausführen von Codes, die nicht Bestandteil des Virus sind. Dengis.A besitzt eine pseudo-polymorphe Verschlüsselung, die einen XOR Vorgang nutzt und bei jeder Infektion einen variierenden Schlüssel einsetzt.
Der Trojaner „Snifsteal.A“ besteht aus einer modifizierten Version der Mozilla Erweiterung „NumberedLinks 0.9“. Diese Mozilla-Komponente dient dazu, direkte Links auf die Webseite zu integrieren. Passwörter für das ICQ Instant Messaging Programm, den FTP Server, IMAP und POP3 Mail Clients, die vom User eingetippt werden, speichert der Trojaner im Falle einer erfolgreichen Infektion und versorgt seinen Programmierer damit. Unter „http://81.96.133/...“ kontrolliert er dann, ob die Informationen schon herunter geladen wurden.
Der heutige Wochenbericht endet mit dem unerwünschten Programm „Prokeylogger“. Schafft es das Programm, sich in fremde Systeme einzunisten, führt es folgende Funktionen aus: Es überwacht Desktops, Webcams, Zwischenablagen, E-Mails, Chats und Instant Messages. Ferner erfasst das Programm Tastaturanschläge, besorgt Passwörter und Screenshots, die es in einer Log-Datei speichert und später via E-Mail oder FTP im RTF oder HTML-Format versendet.
