In dieser Woche waren die auffälligsten Malware-Exemplare die Würmer „Netsad.D“ und „Nuwar.A“ sowie der Backdoor Trojaner „Nixfeld.A“.
Auf die ganz klassische Weise versucht der Wurm Netsad.D eine Erkennung durch Sicherheitsprogramme zu vermeiden: Er beendet die dazugehörigen Prozesse. Diese Technik ist Teil der traditionellen Verbreitung von Schädlingen. Dadurch verheimlicht der Wurm nicht nur seine Präsenz, sondern macht auch das System für weitere Angriffe anfällig. Durch das Ändern von System-Konfigurationen verhindert er ebenso den Zugriff auf Webseiten von IT Sicherheitsunternehmen.
Netsad.D nutzt gleich zwei Verbreitungsmethoden: Die erste Methode ist der Versand über E-Mails. Dabei weckt er die Neugierde des Users mit spannenden Betreffzeilen („Ich habe Dein Passwort“ oder „“Alte Fotos von Dir“) oder anhand von Fehlermeldungen („Deliver Error“ oder „Deliver Mail). Die wahre Absender-Adresse wird dabei natürlich getarnt und stattdessen eine yahoo-Adresse verwendet. Der Code des Wurms befindet sich dabei in einer angehangenen Datei mit variierendem Namen (Mail.pif, readme.html.cmd, etc.).
Die zweite Methode ist die Verbreitung über P2P Netzwerke. In diesem Fall transportiert der Wurm seinen Code, indem er eine Kopie in verschiedenen Dateien, beispielsweise bei Emule, KaZaA oder Morpheus, versteckt und aufmerksamkeitsstarke Bezeichnungen (PornoPic.scr oder FunGame.flash.exe) nutzt, um den User zum Öffnen dieser Dateien zu verleiten.
Obgleich weniger effektiv, nutzt der zweite Wurm des Wochenberichtes, Nuwar.A, eine sehr ähnliche Verbreitungsstrategie. Während Netsad.D jedoch über 350 verschiedene Prozesse im Speicher beenden kann, schafft es Nuwar.A gerade mal 15 Prozesse abzubrechen. Dafür bietet er eine größere Variation beim Einsatz von gefälschten Absender-Adressen und Domains. Der Betreff steht immer in Beziehung zu einem politischen Thema, wie dem dritten Weltkrieg, oder historischen Personen wie Bush oder Putin.
Abschließend widmet sich der heutige Panda Software Malware Wochenrückblick einem Backdoor Trojaner, der die Kontrollübernahme von betroffenen Systemen durch den Hacker initiiert. Folgende Aktivitäten führt er aus:
- Speichern von Tastaturanschlägen
- Erfassen von Screenshots
- Dateitransfers
- An- und Abschalten des Computers
- Starten einer Chat Session mit dem infizierten Computer
- Öffnen der CD-ROM Ablage
- Bestimmen eines Passworts zum Herstellen einer Verbindung mit dem Computer
- Überprüfen des generierten Netzwerk Traffics
- Ausführen seines Codes - jedes Mal, wenn eine Session begonnen wird
- Deaktivieren des Task Managers
Nixfed.A ist ein extrem gefährliches Malware-Exemplar, da er vertrauliche Daten und Abläufe, wie Bank-Transaktionen, mitprotokolliert.
Auf die ganz klassische Weise versucht der Wurm Netsad.D eine Erkennung durch Sicherheitsprogramme zu vermeiden: Er beendet die dazugehörigen Prozesse. Diese Technik ist Teil der traditionellen Verbreitung von Schädlingen. Dadurch verheimlicht der Wurm nicht nur seine Präsenz, sondern macht auch das System für weitere Angriffe anfällig. Durch das Ändern von System-Konfigurationen verhindert er ebenso den Zugriff auf Webseiten von IT Sicherheitsunternehmen.
Netsad.D nutzt gleich zwei Verbreitungsmethoden: Die erste Methode ist der Versand über E-Mails. Dabei weckt er die Neugierde des Users mit spannenden Betreffzeilen („Ich habe Dein Passwort“ oder „“Alte Fotos von Dir“) oder anhand von Fehlermeldungen („Deliver Error“ oder „Deliver Mail). Die wahre Absender-Adresse wird dabei natürlich getarnt und stattdessen eine yahoo-Adresse verwendet. Der Code des Wurms befindet sich dabei in einer angehangenen Datei mit variierendem Namen (Mail.pif, readme.html.cmd, etc.).
Die zweite Methode ist die Verbreitung über P2P Netzwerke. In diesem Fall transportiert der Wurm seinen Code, indem er eine Kopie in verschiedenen Dateien, beispielsweise bei Emule, KaZaA oder Morpheus, versteckt und aufmerksamkeitsstarke Bezeichnungen (PornoPic.scr oder FunGame.flash.exe) nutzt, um den User zum Öffnen dieser Dateien zu verleiten.
Obgleich weniger effektiv, nutzt der zweite Wurm des Wochenberichtes, Nuwar.A, eine sehr ähnliche Verbreitungsstrategie. Während Netsad.D jedoch über 350 verschiedene Prozesse im Speicher beenden kann, schafft es Nuwar.A gerade mal 15 Prozesse abzubrechen. Dafür bietet er eine größere Variation beim Einsatz von gefälschten Absender-Adressen und Domains. Der Betreff steht immer in Beziehung zu einem politischen Thema, wie dem dritten Weltkrieg, oder historischen Personen wie Bush oder Putin.
Abschließend widmet sich der heutige Panda Software Malware Wochenrückblick einem Backdoor Trojaner, der die Kontrollübernahme von betroffenen Systemen durch den Hacker initiiert. Folgende Aktivitäten führt er aus:
- Speichern von Tastaturanschlägen
- Erfassen von Screenshots
- Dateitransfers
- An- und Abschalten des Computers
- Starten einer Chat Session mit dem infizierten Computer
- Öffnen der CD-ROM Ablage
- Bestimmen eines Passworts zum Herstellen einer Verbindung mit dem Computer
- Überprüfen des generierten Netzwerk Traffics
- Ausführen seines Codes - jedes Mal, wenn eine Session begonnen wird
- Deaktivieren des Task Managers
Nixfed.A ist ein extrem gefährliches Malware-Exemplar, da er vertrauliche Daten und Abläufe, wie Bank-Transaktionen, mitprotokolliert.
