Die Virenlabore von Panda Software melden eine hohe Verbreitungsgeschwindigkeit
des Trojaners Cimuz.EL. 57 Prozent aller aktuellen Malware-Infizierungen gehen
zurzeit auf das Konto des Trojaners. Die Installation des schädlichen Codes
erfolgt über zwei Schritte. Der erste Teil des Codes fungiert als Downloader.
Ist er ins System eingedrungen, lädt er die weiteren Komponenten des
Cimuz-Trojaners herunter, die dem eigentlichen Ausführen der Schadroutinen
dienen.
Sobald die Installation komplett abgeschlossen ist, protokolliert
Cimuz.EL alle Internet-Aktivitäten des Users mit, um sensible Informationen
(Usernamen, Passwörter, etc.) sowie Computer-Daten (IP, Hardware- und
Software-Daten, Standort, etc.) zu speichern und an den Malware-Programmierer
weiter zu versenden. Er ist so entwickelt, dass er sowohl die auf dem Rechner
gespeicherten Daten aufspürt als auch die vom Nutzer im Internet eingetippten
Angaben aufnimmt.
Um den Internet Traffic überwachen zu können, bindet der Trojaner eine DLL
(Dynamische Bibliothek) in den Internet Explorer ein. Alle Informationen
(Kreditkartennummern, Zugangsdaten, etc.), die der betroffene Anwender nun in
Online Formulare eingibt, kann Cimuz.EL dann sammeln und über einem Server
versenden. Zudem setzt er Prozessen von Sicherheits-Tools, wie
Antivirenprogrammen oder Firewalls, ein Ende und gestaltet so seine Entdeckung
noch schwieriger.
Cimuz.EL legt folgende Dateien in der Windows System
Directory an:
– ISCA.EXE, welche die Datei HHT24.EXE herunter lädt.
–
HHT24.EXE, welche die DLL IPV6MONL.DLL installiert.
– IPV6MONL.DLL, welche
den Internet Traffic überwacht.
– QAS.TX im Unterordner
DRIVERS.
Anhand von verschiedenen Einträgen in der Windows Registry
stellt der Trojaner Cimuz.EL sicher, dass
– er bei jedem Systemstart
aktiviert wird
– er als ein BHO (Browser Helper Object), also ein
ausführbares Programm, das die Funktionen des Internet Explorers erweitert,
registriert ist
– die Erweiterungen im Internet Explorer aktiviert sind, so
dass die DLL, die den Traffic kontrolliert, geladen werden kann
– er auf der
Liste der für die Firewall autorisierten Programme steht
Der 98,008 Bytes
große Trojaner ist in der Programmiersprache Visual C++ v6 geschrieben und
verbreitet sich über Internet Downloads, CD’s, infizierte Memory Sticks, E-Mail
Anhänge und Sicherheitslücken.