Neben dem
gefährlichen Cimuz.EL Trojaner, der Mitte vergangener Woche 57% aller
Malware-Infizierungen verursacht hatte, beschäftigt sich der heutige Wochenbericht
von Panda Software mit einem weiteren Trojaner, Gogo.A, und den zwei
Würmern UsbStorm.A und Nurech.Z.
Nurech.Z ist eine neue Variante des erstmals kurz vorm
Valentinstag erschienenen Nurech.A-Wurms. Sorgte Nurech.A noch im Februar für
einen orangenen Alarm, täuscht die Z-Version diesen an, um Infizierungen zu
verursachen. Mit E-Mail Betreffzeilen, wie „Wurmalarm!“, „Spywarealarm!“ oder
„Virenalarm“, warnt er vor einem sich angeblich rasant verbreitenden
Eindringling. Die eingehende Nachricht gibt als Absender „Customer Support“ an
– damit soll dem Empfänger eine vertrauenswürdige Quelle vorgegaukelt werden.
Der Wurm ist in einer .zip-Datei im Anhang der E-Mail versteckt, die angeblich
einen Patch zum Schutz vor dem entsprechenden Schädling enthält. Das Passwort
zum herunterladen des Patches soll in der eingefügten .gif-Datei – und nicht in
einer Text-Datei – enthalten sein. Um keinen Verdacht aufkommen zu lassen, wird
dieser Umstand damit erklärt, dass das Passwort in der .gif-Datei vor der Malware
geschützt wird. Wenn der User den Anhang öffnet, aktiviert er den Wurm, der
direkt das System nach weiteren E-Mail-Adressen durchforstet, um sich an diese
Spam artig zu versenden.
Der zweite Wurm ist UsbStorm.A. Er kopiert seinen Code auf mobile Datenspeicher,
wie USB Memory Sticks, und aktiviert sich, sobald diese mit einem Computer
verbunden werden. Dort verhält er sich „ruhig“, bis der nächste Datenträger
angeschlossen wird, auf den er sich kopieren kann. Updates seines Codes lädt er
von verschiedenen Webseiten herunter.
Der Trojaner Cimuz.EL installiert sich in zwei Schritten auf infizierten
Systemen: Der erste Teil des Codes fungiert als Downloader. Ist er ins System
eingedrungen, lädt er die weiteren Komponenten des Cimuz-Trojaners herunter,
die dem eigentlichen Ausführen der Schadroutinen dienen. Sobald die
Installation komplett abgeschlossen ist, protokolliert Cimuz.EL alle
Internet-Aktivitäten des Users mit, um sensible Informationen (Usernamen,
Passwörter, etc.) sowie Computer-Daten (IP, Hardware- und Software-Daten,
Standort, etc.) zu speichern und an den Malware-Programmierer regelmäßig über
einen Webserver weiter zu versenden. Er ist so entwickelt, dass er sowohl die
auf dem Rechner gespeicherten Daten aufspürt als auch die vom Nutzer im Internet
eingetippten Angaben aufnimmt. Um den Internet Traffic überwachen zu können,
bindet der Trojaner eine DLL (Dynamische Bibliothek) in den Internet Explorer
ein.
Auch der Trojaner Gogo.A macht sich – sobald er in ein System
eingedrungen ist – auf die Suche nach Gewinn einbringenden Daten. Um diese zu
erhalten, installiert er ein Zusatzprogramm im Internet Explorer und zeichnet
die Tastaturanschläge des Users auf. Gogo.A setzt Rootkit-Eigenschaften ein, um
von ihm initiierte Prozesse zu verheimlichen und eine Erkennung durch
Sicherheits-Tools zu vermeiden.
Alle Computer-Nutzer können auf der neuen Panda Software Website „Infected or
Not?“ (www.infectedornot.com) anhand
eines kostenfreien Online-Scans innerhalb kürzester Zeit feststellen, ob ihre
Systeme infiziert sind oder nicht.