Über 50 Prozent der gesamten neuen
Malware besteht aus Trojanern. Das
spiegelt sich auch immer wieder in den
Wochenberichten von Panda Software
wider. Im heutigen Rückblick der
vergangenen Woche beschäftigen wir uns
mit den beiden Trojanern „Sinowal.CR“
und „Briz.R“ sowie dem Wurm „Sohanat.U“.Sinowal.CR sammelt nicht nur
User-Daten von Kunden der Mail-Dienste
Ak-Mail, Eudora und The Bat, die in
geschützten Ordnern gespeichert sind,
sondern auch Informationen zum
befallenen Rechner, wie z.B. IP
Adressen, Standort des Computers oder
Details zu offenen Ports. Nachdem er die
erwünschten Daten erfasst hat, leitet er
diese über einen Internet Server an
seinen Programmierer weiter.
Wie die meisten Trojaner, schafft es
auch Sinowal.CR nicht, sich über seine
eigenen Mittel zu verbreiten. Dazu
benötigt er immer die Interaktion des
Nutzers. Als Überträger dienen ihm
Floppy Disks, CD-ROMs, E-Mail Anhänge,
Internet Downloads, Dateien, die über
FTP transportiert werden oder P2P
File-Sharing Netzwerke.
Ein sehr gefährliches Malware-Exemplar
ist die R-Variante des Briz-Trojaners.
Briz.R überträgt seinem
Programmierer die Kontrolle über das
infizierte System. Zudem leitet der
Trojaner die betroffenen User auf
manipulierte Seiten weiter, um an ihre
vertraulichen Daten zu gelangen. Briz.R
ist ein weiteres Muster, das seinen
Ursprung im bekannten Internet-Betrug
mit maßgefertigten Trojanern hat, der
von den PandaLabs vor einigen Monaten
entdeckt wurde.
Briz.R führt in folgender Reihenfolge
seine schadhaften Aktivitäten aus:
Zuerst installiert er auf dem
infizierten Rechner die Datei „iexplore.exe“,
die zum Aufspüren von Internet
Verbindungen eingesetzt wird. Ist die
Suche erfolgreich, lädt der Trojaner
eine weitere Datei mit dem Namen „ieschedule.exe“
herunter, die z.B. den Port zum
Versenden der gestohlenen Daten oder
weitere Komponenten von Briz.R enthält.
Die dritte Datei, die aufs System
geladen wird, ist „ieserver.exe“. Sie
stellt die Verbindung zu einem Web
Server her, um den User zum Öffnen einer
gefälschten Seite zu veranlassen – und
zwar hauptsächlich, wenn der User auf
Online Bankdienste zurückgreifen möchte.
Der Trojaner protokolliert in diesem
Fall die eingetippten Zugangsdaten mit
und versendet sie an den kriminellen
Hintermann. Neben den drei Dateien wird
die Applikation „phpRemoteView“
installiert, die in PHP programmiert ist
und eine Kontrollübernahme durch den
Hacker initiiert.
Durch eine Modifikation der Host Datei
versperrt Briz.R dem User den Zugriff
auf Webseiten von
Sicherheitsherstellern, verhindert somit
die Aktualisierung der Sicherheitslösung
und öffnet den PC für zukünftige
Angriffe.
Neben den beiden Trojanern ist der Wurm
Sohanat.U Bestandteil des Panda
Software Wochenberichtes. Er verbreitet
sich via Instant Messaging Programme,
wie den Yahoo Messenger, AIM oder den
Windows Live Messenger. Er versucht den
User auszutricksen, indem er ihm einen
kostenfreien Download von MP3-Dateien
verspricht. Der enthaltene Link enthält
jedoch eine Kopie des Wurms, der
installiert wird, wenn der User darauf
klickt. Der Wurm macht sich negativ
bemerkbar, indem er Prozesse von
Sicherheitsprogrammen beendet, die
Homepage des Internet Explorer verändert
und sowohl den Windows Tast Manager als
auch das Programm „regedit.exe“ beendet.