Kombinierte Attacken, bei denen die Merkmale und Eigenschaften verschiedener Schädlinge für einen Angriff genutzt werden, tauchen immer häufiger auf. In der vergangenen Woche gab es verschiedene Verbindungen bei denen u. a. klassische Viren mit Wurm- und Trojaner-Funktionalitäten und Würmer mit Rootkit-Technologien kombiniert wurden.
Hier eine kleine Übersicht der Schädlinge, die in der vergangenen Woche aktiv waren:
Nabload.TH
Typ: Trojaner
Größe: 44,544 bytes
Erschienen am: 7.11.2006
Bedrohungslevel: gering
Verbreitung: Floppy Disks, CD-ROMs, E-Mail Anhänge, Internet Downloads, FTP, IRC, P2P, File Sharing Networks, etc.
Nabload.TH verbindet sich mit bestimmten Webseiten und lädt den Trojaner Banker.FFX auf das infizierte System. Beim Laden des Schädlings lenkt er den User ab, indem er die Webseite http://www.dailion.com aufruft und einen Video-Clip anzeigt. Zudem legt er im Windows System-Adressverzeichnis die Datei ATUALIZACAO.EXE an.
Banker.FFX
Typ: Trojaner
Größe: 954,899 bytes
Erschienen am: 07.11.2006
Bedrohungslevel: mittel
Verbreitung: Wird vom Trojaner Nabload.TH auf den infizierten Rechner geladen
Sobald Banker.FFX aktiviert ist, versendet er eine E-Mail an seinen Programmierer, um ihn über die erfolgreiche Infektion zu informieren und ihm die MAC Adresse zur genauen Identifizierung des betroffenen Rechners mitzuteilen. Seine Aufgabe besteht darin, den generierten Internet Traffic zu überwachen, bis sich der User mit der Webseite der Online Services der Banken Banco de Brasil, Bradesco, HSBC, Internet Banking Caixa und Itau verbindet, um seine Bankdetails zu kopieren. Damit der Trojaner Username und Passwort speichern kann, führt er den Anwender nicht auf die im Browserfenster eingegebene Adresse, sondern auf eine gefälschte Seite. Die gestohlenen Zugangsdaten landen in der Datei WINDOWS.INI im Windows Adressbuch.
Spamta.LZ
Typ: Wurm
Größe: 131,072 bytes
Erschienen am: 08.11.2006
Bedrohungslevel: mittel
Verbreitung: Wird herunter geladen vom Trojaner SpamtaLoad.BE. Besonders raffiniert: Ebenso lädt Spamta.LZ den Trojaner SpamtaLoad.BE auf infizierte Rechner.
Eine Art Teufelskreis für betroffene Anwender kommt durch den Einsatz der beiden Trojaner Spamta.LZ und SpamtaLoad.BE zustande. SpamtaLoad.BE versteckt sich in einer Datei, die an eine E-Mail angehangen ist und eine doppelte Erweiterung enthält. Der Trojaner ist für den User nicht sichtbar, da er keine Warnungen oder Nachrichten anzeigt, die auf seine Präsenz deuten könnten. Zudem variieren Betreffzeile, Nachricht und Name der Datei, die den Trojaner transportiert, was eine Erkennung zusätzlich erschwert. Sobald SpamtaLoad.BE auf dem System installiert ist, lädt er den Spamta.LZ-Trojaner herunter, der wiederum die Dateien MSSERRV32.EXE, MSSERRV32.DAT und MSSERRV32.WAX in der Windows Registry erstellt und für seine weitere Verbreitung sorgt, indem er eine E-Mail versendet, in der der Trojaner SpamtaLoad.BE enthalten ist.
Radoppan.A
Typ: Virus
Erschienen am: 06.11.2006
Bedrohungslevel: gering
Verbreitung: Über Netzwerke und E-Mails
Das Radoppan.A-Virus verfügt nicht nur über Merkmale seiner eigenen Malware-Art, sondern auch über Wurm-Charakteristika. Zudem bedient er sich der Eigenschaften eines Rootkits, nämlich Krpan.D, um seine Prozesse, Dateien und Registry Einträge zu verheimlichen. Das Radoppan-Virus infiziert alle ausführbaren Dateien, die es auf dem verseuchten System findet.
Hier eine kleine Übersicht der Schädlinge, die in der vergangenen Woche aktiv waren:
Nabload.TH
Typ: Trojaner
Größe: 44,544 bytes
Erschienen am: 7.11.2006
Bedrohungslevel: gering
Verbreitung: Floppy Disks, CD-ROMs, E-Mail Anhänge, Internet Downloads, FTP, IRC, P2P, File Sharing Networks, etc.
Nabload.TH verbindet sich mit bestimmten Webseiten und lädt den Trojaner Banker.FFX auf das infizierte System. Beim Laden des Schädlings lenkt er den User ab, indem er die Webseite http://www.dailion.com aufruft und einen Video-Clip anzeigt. Zudem legt er im Windows System-Adressverzeichnis die Datei ATUALIZACAO.EXE an.
Banker.FFX
Typ: Trojaner
Größe: 954,899 bytes
Erschienen am: 07.11.2006
Bedrohungslevel: mittel
Verbreitung: Wird vom Trojaner Nabload.TH auf den infizierten Rechner geladen
Sobald Banker.FFX aktiviert ist, versendet er eine E-Mail an seinen Programmierer, um ihn über die erfolgreiche Infektion zu informieren und ihm die MAC Adresse zur genauen Identifizierung des betroffenen Rechners mitzuteilen. Seine Aufgabe besteht darin, den generierten Internet Traffic zu überwachen, bis sich der User mit der Webseite der Online Services der Banken Banco de Brasil, Bradesco, HSBC, Internet Banking Caixa und Itau verbindet, um seine Bankdetails zu kopieren. Damit der Trojaner Username und Passwort speichern kann, führt er den Anwender nicht auf die im Browserfenster eingegebene Adresse, sondern auf eine gefälschte Seite. Die gestohlenen Zugangsdaten landen in der Datei WINDOWS.INI im Windows Adressbuch.
Spamta.LZ
Typ: Wurm
Größe: 131,072 bytes
Erschienen am: 08.11.2006
Bedrohungslevel: mittel
Verbreitung: Wird herunter geladen vom Trojaner SpamtaLoad.BE. Besonders raffiniert: Ebenso lädt Spamta.LZ den Trojaner SpamtaLoad.BE auf infizierte Rechner.
Eine Art Teufelskreis für betroffene Anwender kommt durch den Einsatz der beiden Trojaner Spamta.LZ und SpamtaLoad.BE zustande. SpamtaLoad.BE versteckt sich in einer Datei, die an eine E-Mail angehangen ist und eine doppelte Erweiterung enthält. Der Trojaner ist für den User nicht sichtbar, da er keine Warnungen oder Nachrichten anzeigt, die auf seine Präsenz deuten könnten. Zudem variieren Betreffzeile, Nachricht und Name der Datei, die den Trojaner transportiert, was eine Erkennung zusätzlich erschwert. Sobald SpamtaLoad.BE auf dem System installiert ist, lädt er den Spamta.LZ-Trojaner herunter, der wiederum die Dateien MSSERRV32.EXE, MSSERRV32.DAT und MSSERRV32.WAX in der Windows Registry erstellt und für seine weitere Verbreitung sorgt, indem er eine E-Mail versendet, in der der Trojaner SpamtaLoad.BE enthalten ist.
Radoppan.A
Typ: Virus
Erschienen am: 06.11.2006
Bedrohungslevel: gering
Verbreitung: Über Netzwerke und E-Mails
Das Radoppan.A-Virus verfügt nicht nur über Merkmale seiner eigenen Malware-Art, sondern auch über Wurm-Charakteristika. Zudem bedient er sich der Eigenschaften eines Rootkits, nämlich Krpan.D, um seine Prozesse, Dateien und Registry Einträge zu verheimlichen. Das Radoppan-Virus infiziert alle ausführbaren Dateien, die es auf dem verseuchten System findet.
