Ein Wurm, noch ein Wurm und ein weiterer Wurm waren die dominantesten Malware-Exemplare in der vergangenen Woche: Oscarbot.IV, Peerbot.B und Netsad.B. verdrängen Viren und Trojaner vom Wochenbericht.
Anfang der Woche gab Oscarbot.IV sein Debüt auf zahlreichen Rechnern rund um den Globus. Mit dem Öffnen verschiedener Kommunikationsports durch den elektronischen Wurm erlangt der Schädlings-Autor die Kontrolle über das infizierte System. Der Schädling durchforstet alle aktiven Kontakte des Users und verschickt sich an diese über den AOL Instant Messenger. Seine Aufgabe ist es, sich als Microsoft Dienst gegen Online-Piraterie mit dem Namen „Windows Genuine Advantage Validation Notification“ an Sicherheitsprogrammen vorbei zu schleichen und seinen Komplizen, den Trojaner Protestor.A ins System einzuführen. Dieser fängt Screenshots ein und stiehlt Nutzerdaten.
Durch eine Hintertür huscht Peerbot.B unentdeckt über E-Mails und P2P File-Sharing Programme in PCs. Die Kommunikation mit seinem Programmierer erfolgt über zwei Kanäle: Anweisungen erhält der Wurm über IRC – die vom SQL Server und den Mysql Datenbanken gesammelten Informationen sendet Peerbot.B per E-Mail an seinen Programmierer. Die Kopie seines eigenen Codes versteckt der Wurm in der von ihm erstellten Datei „Taskdrv.exe“ und der Bibliotheksdatei „Libmysql.dll“ in der Mysql Datenbank. Ebenso legt er mehrere Dateien in gemeinsam genutzten Ordnern von P2P Programmen an. Um keinen Verdacht aufkommen zu lassen, benennt er die entsprechenden Dateien nach bekannten Applikationen und Spielen. Startet ein weiterer User im P2P Programm eine Suche, mischt der Wurm die infizierte Datei unter die Ergebnisse. Das Deaktivieren sämtlicher Sicherheitsprogramme und das Modifizieren der Host Datei sollen eine mögliche Erkennung verhindern.
Auch der letzte Wurm, der in der vergangenen Woche zum ersten Mal erschienen ist, Netsad.B, nutzt wie Peerbot.B P2P Applikationen, um sich zu verbreiten. Besonders vorsichtig sollte man beim Herunterladen von den beliebten File-Sharing Tools Kazaa oder Emule sein. Dort versteckt der Wurm in gemeinsam genutzten Dateien schädliche Kopien von sich selber. Sobald er sich in ein System eingenistet hat, kopiert er sich unter dem Namen „winservices.cab.bak.exe“ in den Windows System Ordner. Weitere Kopien, die er in den anderen System Laufwerken anlegt, benennt er nach Antivirenprogrammen und Sicherheits-Tools. Eine Verbreitung über E-Mail Anhänge ist ebenso möglich. Die entsprechende Nachricht enthält folgenden englischen Text: „Sharing files ist the essence of living“. Netsad.B kann lediglich auf Rechnern mit Microsoft.NETframework 2.0 Schaden anrichten.
Anfang der Woche gab Oscarbot.IV sein Debüt auf zahlreichen Rechnern rund um den Globus. Mit dem Öffnen verschiedener Kommunikationsports durch den elektronischen Wurm erlangt der Schädlings-Autor die Kontrolle über das infizierte System. Der Schädling durchforstet alle aktiven Kontakte des Users und verschickt sich an diese über den AOL Instant Messenger. Seine Aufgabe ist es, sich als Microsoft Dienst gegen Online-Piraterie mit dem Namen „Windows Genuine Advantage Validation Notification“ an Sicherheitsprogrammen vorbei zu schleichen und seinen Komplizen, den Trojaner Protestor.A ins System einzuführen. Dieser fängt Screenshots ein und stiehlt Nutzerdaten.
Durch eine Hintertür huscht Peerbot.B unentdeckt über E-Mails und P2P File-Sharing Programme in PCs. Die Kommunikation mit seinem Programmierer erfolgt über zwei Kanäle: Anweisungen erhält der Wurm über IRC – die vom SQL Server und den Mysql Datenbanken gesammelten Informationen sendet Peerbot.B per E-Mail an seinen Programmierer. Die Kopie seines eigenen Codes versteckt der Wurm in der von ihm erstellten Datei „Taskdrv.exe“ und der Bibliotheksdatei „Libmysql.dll“ in der Mysql Datenbank. Ebenso legt er mehrere Dateien in gemeinsam genutzten Ordnern von P2P Programmen an. Um keinen Verdacht aufkommen zu lassen, benennt er die entsprechenden Dateien nach bekannten Applikationen und Spielen. Startet ein weiterer User im P2P Programm eine Suche, mischt der Wurm die infizierte Datei unter die Ergebnisse. Das Deaktivieren sämtlicher Sicherheitsprogramme und das Modifizieren der Host Datei sollen eine mögliche Erkennung verhindern.
Auch der letzte Wurm, der in der vergangenen Woche zum ersten Mal erschienen ist, Netsad.B, nutzt wie Peerbot.B P2P Applikationen, um sich zu verbreiten. Besonders vorsichtig sollte man beim Herunterladen von den beliebten File-Sharing Tools Kazaa oder Emule sein. Dort versteckt der Wurm in gemeinsam genutzten Dateien schädliche Kopien von sich selber. Sobald er sich in ein System eingenistet hat, kopiert er sich unter dem Namen „winservices.cab.bak.exe“ in den Windows System Ordner. Weitere Kopien, die er in den anderen System Laufwerken anlegt, benennt er nach Antivirenprogrammen und Sicherheits-Tools. Eine Verbreitung über E-Mail Anhänge ist ebenso möglich. Die entsprechende Nachricht enthält folgenden englischen Text: „Sharing files ist the essence of living“. Netsad.B kann lediglich auf Rechnern mit Microsoft.NETframework 2.0 Schaden anrichten.
