Über 50 Prozent der gesamten neuen Malware besteht aus Trojanern. Das spiegelt sich auch immer wieder in den Wochenberichten von Panda Software wider. Im heutigen Rückblick der vergangenen Woche beschäftigen wir uns mit den beiden Trojanern „Sinowal.CR“ und „Briz.R“ sowie dem Wurm „Sohanat.U“.
Sinowal.CR sammelt nicht nur User-Daten von Kunden der Mail-Dienste Ak-Mail, Eudora und The Bat, die in geschützten Ordnern gespeichert sind, sondern auch Informationen zum befallenen Rechner, wie z.B. IP Adressen, Standort des Computers oder Details zu offenen Ports. Nachdem er die erwünschten Daten erfasst hat, leitet er diese über einen Internet Server an seinen Programmierer weiter.
Wie die meisten Trojaner, schafft es auch Sinowal.CR nicht, sich über seine eigenen Mittel zu verbreiten. Dazu benötigt er immer die Interaktion des Nutzers. Als Überträger dienen ihm Floppy Disks, CD-ROMs, E-Mail Anhänge, Internet Downloads, Dateien, die über FTP transportiert werden oder P2P File-Sharing Netzwerke.
Ein sehr gefährliches Malware-Exemplar ist die R-Variante des Briz-Trojaners. Briz.R überträgt seinem Programmierer die Kontrolle über das infizierte System. Zudem leitet der Trojaner die betroffenen User auf manipulierte Seiten weiter, um an ihre vertraulichen Daten zu gelangen. Briz.R ist ein weiteres Muster, das seinen Ursprung im bekannten Internet-Betrug mit maßgefertigten Trojanern hat, der von den PandaLabs vor einigen Monaten entdeckt wurde.
Briz.R führt in folgender Reihenfolge seine schadhaften Aktivitäten aus: Zuerst installiert er auf dem infizierten Rechner die Datei „iexplore.exe“, die zum Aufspüren von Internet Verbindungen eingesetzt wird. Ist die Suche erfolgreich, lädt der Trojaner eine weitere Datei mit dem Namen „ieschedule.exe“ herunter, die z.B. den Port zum Versenden der gestohlenen Daten oder weitere Komponenten von Briz.R enthält. Die dritte Datei, die aufs System geladen wird, ist „ieserver.exe“. Sie stellt die Verbindung zu einem Web Server her, um den User zum Öffnen einer gefälschten Seite zu veranlassen – und zwar hauptsächlich, wenn der User auf Online Bankdienste zurückgreifen möchte. Der Trojaner protokolliert in diesem Fall die eingetippten Zugangsdaten mit und versendet sie an den kriminellen Hintermann. Neben den drei Dateien wird die Applikation „phpRemoteView“ installiert, die in PHP programmiert ist und eine Kontrollübernahme durch den Hacker initiiert.
Durch eine Modifikation der Host Datei versperrt Briz.R dem User den Zugriff auf Webseiten von Sicherheitsherstellern, verhindert somit die Aktualisierung der Sicherheitslösung und öffnet den PC für zukünftige Angriffe.
Neben den beiden Trojanern ist der Wurm Sohanat.U Bestandteil des Panda Software Wochenberichtes. Er verbreitet sich via Instant Messaging Programme, wie den Yahoo Messenger, AIM oder den Windows Live Messenger. Er versucht den User auszutricksen, indem er ihm einen kostenfreien Download von MP3-Dateien verspricht. Der enthaltene Link enthält jedoch eine Kopie des Wurms, der installiert wird, wenn der User darauf klickt. Der Wurm macht sich negativ bemerkbar, indem er Prozesse von Sicherheitsprogrammen beendet, die Homepage des Internet Explorer verändert und sowohl den Windows Tast Manager als auch das Programm „regedit.exe“ beendet.
Sinowal.CR sammelt nicht nur User-Daten von Kunden der Mail-Dienste Ak-Mail, Eudora und The Bat, die in geschützten Ordnern gespeichert sind, sondern auch Informationen zum befallenen Rechner, wie z.B. IP Adressen, Standort des Computers oder Details zu offenen Ports. Nachdem er die erwünschten Daten erfasst hat, leitet er diese über einen Internet Server an seinen Programmierer weiter.
Wie die meisten Trojaner, schafft es auch Sinowal.CR nicht, sich über seine eigenen Mittel zu verbreiten. Dazu benötigt er immer die Interaktion des Nutzers. Als Überträger dienen ihm Floppy Disks, CD-ROMs, E-Mail Anhänge, Internet Downloads, Dateien, die über FTP transportiert werden oder P2P File-Sharing Netzwerke.
Ein sehr gefährliches Malware-Exemplar ist die R-Variante des Briz-Trojaners. Briz.R überträgt seinem Programmierer die Kontrolle über das infizierte System. Zudem leitet der Trojaner die betroffenen User auf manipulierte Seiten weiter, um an ihre vertraulichen Daten zu gelangen. Briz.R ist ein weiteres Muster, das seinen Ursprung im bekannten Internet-Betrug mit maßgefertigten Trojanern hat, der von den PandaLabs vor einigen Monaten entdeckt wurde.
Briz.R führt in folgender Reihenfolge seine schadhaften Aktivitäten aus: Zuerst installiert er auf dem infizierten Rechner die Datei „iexplore.exe“, die zum Aufspüren von Internet Verbindungen eingesetzt wird. Ist die Suche erfolgreich, lädt der Trojaner eine weitere Datei mit dem Namen „ieschedule.exe“ herunter, die z.B. den Port zum Versenden der gestohlenen Daten oder weitere Komponenten von Briz.R enthält. Die dritte Datei, die aufs System geladen wird, ist „ieserver.exe“. Sie stellt die Verbindung zu einem Web Server her, um den User zum Öffnen einer gefälschten Seite zu veranlassen – und zwar hauptsächlich, wenn der User auf Online Bankdienste zurückgreifen möchte. Der Trojaner protokolliert in diesem Fall die eingetippten Zugangsdaten mit und versendet sie an den kriminellen Hintermann. Neben den drei Dateien wird die Applikation „phpRemoteView“ installiert, die in PHP programmiert ist und eine Kontrollübernahme durch den Hacker initiiert.
Durch eine Modifikation der Host Datei versperrt Briz.R dem User den Zugriff auf Webseiten von Sicherheitsherstellern, verhindert somit die Aktualisierung der Sicherheitslösung und öffnet den PC für zukünftige Angriffe.
Neben den beiden Trojanern ist der Wurm Sohanat.U Bestandteil des Panda Software Wochenberichtes. Er verbreitet sich via Instant Messaging Programme, wie den Yahoo Messenger, AIM oder den Windows Live Messenger. Er versucht den User auszutricksen, indem er ihm einen kostenfreien Download von MP3-Dateien verspricht. Der enthaltene Link enthält jedoch eine Kopie des Wurms, der installiert wird, wenn der User darauf klickt. Der Wurm macht sich negativ bemerkbar, indem er Prozesse von Sicherheitsprogrammen beendet, die Homepage des Internet Explorer verändert und sowohl den Windows Tast Manager als auch das Programm „regedit.exe“ beendet.
