Im heutigen Wochenbericht befassen wir uns mit drei neuen Schädlingen: Den Trojanern Clickbot.A und Kitty.Kat und dem Wurm Hoots.A.
Clickbot.A wandelt Rechner in einem globalen Netzwerk zu Zombies um, um sie für manipulierte Klicks auf Werbeseiten, die momentan keine Treffer verbuchen können, zu nutzen. E-Mail Anhänge, Downloads aus dem Internet oder P2P File-Sharing Netzwerke dienen dem Bot zur Verbreitung. Wenn er sich auf einem System installiert hat, registriert sich der Eindringling als BHO (Browser Helper Object) und aktiviert sich somit bei jedem Aufrufen des Internet Explorers erneut. Dann aktualisiert der seinen eigenen Code, meldet seinem Programmierer eine Infizierung und kann auf Abruf eingesetzt werden.
KittyKat.A transportiert seinen schadhaften Code in einer komprimierten RAR Datei über die gleichen Verbreitungskanäle wie Clickbot.A (E-Mails, Downloads, P2P Netzwerke). Diese enthält neben der Original-Datei noch eine Reihe von Dateien mit willkürlichen Formaten und Namen, darunter auch die „Start.bat“-Datei. Diese wiederum hat die Aufgabe, eine ausführbare Datei, nämlich „Nrk.exe“, anzulegen, um alle RAR Dateien zu suchen und dort ihren Code einzufügen. Wenn dieser Prozess abgeschlossen ist, wird folgende Nachricht angezeigt: „Eppur si muove! Defend your opinion!“. Die KittyKat.A-Infektion hat keine weiteren Auswirkungen.
Hoots.A startet seinen Lauschangriff über geteilte Ressourcen und verbundene Laufwerke auf lokalen Netzwerken. Der Wurm ist relativ einfach auf dem System zu identifizieren, da er eine Abbildung von einer Schneeeule mit der Überschrift „O R L Y ?“ versendet. Um sicherzustellen, dass er bei jedem Neustart aktiviert wird, erstellt er die beiden Dateien „ORLY.exe“ und „Check.exe“ als Kopien seines Codes. Sobald Hoots.A ein Netzwerk aufspürt, versucht er sich Zutritt zu verschaffen (indem er z.B. häufig verwendete Passwörter ausprobiert) und eine Bestandsaufnahme der vorhandenen Laufwerke zu bekommen.
Clickbot.A wandelt Rechner in einem globalen Netzwerk zu Zombies um, um sie für manipulierte Klicks auf Werbeseiten, die momentan keine Treffer verbuchen können, zu nutzen. E-Mail Anhänge, Downloads aus dem Internet oder P2P File-Sharing Netzwerke dienen dem Bot zur Verbreitung. Wenn er sich auf einem System installiert hat, registriert sich der Eindringling als BHO (Browser Helper Object) und aktiviert sich somit bei jedem Aufrufen des Internet Explorers erneut. Dann aktualisiert der seinen eigenen Code, meldet seinem Programmierer eine Infizierung und kann auf Abruf eingesetzt werden.
KittyKat.A transportiert seinen schadhaften Code in einer komprimierten RAR Datei über die gleichen Verbreitungskanäle wie Clickbot.A (E-Mails, Downloads, P2P Netzwerke). Diese enthält neben der Original-Datei noch eine Reihe von Dateien mit willkürlichen Formaten und Namen, darunter auch die „Start.bat“-Datei. Diese wiederum hat die Aufgabe, eine ausführbare Datei, nämlich „Nrk.exe“, anzulegen, um alle RAR Dateien zu suchen und dort ihren Code einzufügen. Wenn dieser Prozess abgeschlossen ist, wird folgende Nachricht angezeigt: „Eppur si muove! Defend your opinion!“. Die KittyKat.A-Infektion hat keine weiteren Auswirkungen.
Hoots.A startet seinen Lauschangriff über geteilte Ressourcen und verbundene Laufwerke auf lokalen Netzwerken. Der Wurm ist relativ einfach auf dem System zu identifizieren, da er eine Abbildung von einer Schneeeule mit der Überschrift „O R L Y ?“ versendet. Um sicherzustellen, dass er bei jedem Neustart aktiviert wird, erstellt er die beiden Dateien „ORLY.exe“ und „Check.exe“ als Kopien seines Codes. Sobald Hoots.A ein Netzwerk aufspürt, versucht er sich Zutritt zu verschaffen (indem er z.B. häufig verwendete Passwörter ausprobiert) und eine Bestandsaufnahme der vorhandenen Laufwerke zu bekommen.
