Banker-Trojaner sind momentan die am häufigsten vertretene Trojaner-Art – dieses
Ergebnis lieferte eine Studie von Panda Software, die vor einigen Tagen
veröffentlicht wurde. Auch die beiden Trojaner des heutigen Wochenberichtes,
Alanchum.NX und Cimuz.CM, sind auf der Suche nach vertraulichen
Bankdaten und bestätigen somit den aktuellen Trend. Ebenso berichten wir vom
Wurm Nuwar.D.Der Trojaner Alanchum.NX wird von Gagar.CG, einem weiteren
Trojaner, herunter geladen, um Dateien aus dem Internet zu laden, sie zu
installieren und auszuführen. Alle E-Mail Adressen, die er auf dem infizierten
System findet, sammelt er und schickt diese zu einer Website. Bei jeder neuen
Infizierung fügt er die neuen Adressen hinzu. Diese werden wiederum an alle
weiteren von Alanchum.NX befallenen Rechner weitergeleitet und für den Versand
von Spam-Mails genutzt. Das Ergebnis dieser „Kettenreaktion“ ist ein
signifikanter Anstieg des Netzwerk-Traffics sowie ein hoher Verbrauch an
Ressourcen.
Der 54,435 Bytes große Alanchum-Trojaner bringt neue Varianten in
Umlauf, indem er eigene Updates herunter lädt und die Betreffzeile der von ihm
zu versendenden Nachrichten ändert. Mit Meldungen wie u. a. „Fidel Castro
Dead“, „Hugo Chávez Dead“ oder „Saddam Hussein Alive“ versucht
er User zum Öffnen des Anhangs zu locken.
Einige Alanchum.NX-Varianten
besitzen Rootkit-Funktionalitäten. Damit verheimlichen sie Prozesse, die sie in
Gang setzen und von ihnen angelegte Windows Registry Einträge. Der Trojaner
liefert keine Anzeichen einer Infektion und ist deshalb schwer zu
entdecken.
Die proaktiven TruPrevent-Technologien von Panda Software sind
trotzdem in der Lage alle Alanchum-Muster aufgrund einer Analyse des
Schädlings-Verhaltens zu erkennen und zu blocken.
Der zweite Trojaner ist
Cimuz.CM – ein Eindringling, der seine Kopien über E-Mails und
Datei-Downloads auf Computern streut und vertraulichen Informationen, wie
beispielsweise Passwörter, aufspürt. Das ist aber noch nicht alles. Zusätzlich
versucht Cimuz.CM von der Website www.mark<blocked>how.com eine
Datei herunter zu laden, die eine unter Microsoft verwendete Programmbibliothek
(DLL) beinhaltet. In der Windows System Directory legt der Trojaner zwei Dateien
an: „Acluin.exe“, die eine Kopie seines Codes enthält, und
„IFTB.exe“.
Folgende Fehlermeldungen erscheinen bei einer Infizierung
durch den 13,312 Bytes großen Trojaner: „Acrobat Reader ERROR 31847“ oder
„Acrobat 6 – Error Warning 20225“.
Die Verbreitung erfolgt über Floppy
Disks, CD-ROMs, E-Mail-Anhänge, Internet Downloads, FTP, IRC Channels oder P2P
File Sharing Networks.
Der Nuwar.D Wurm lädt verschiedene
Malware-Exemplare, darunter auch seine eigenen Updates, auf betroffene Systeme
und führt sie aus. Die Betreffzeilen in den E-Mails, die den Wurm
transportieren, variieren, während der Name der Datei zwischen „Flash
Postcard.exe“, „Greetings Card.exe“, „Greetings Postcard.exe“
und „Postcard.exe“ wechselt.
Nuwar.D verbreitet sich über zwei Wege:
Er legt Kopien seines Codes in zufällig generierten IPs ab und sucht nach P2P
Exchange Netzwerken. Besteht eine solche Verbindung, benennt sich der Wurm um
und gibt sich dem Namen einer bereits bestehenden Datei, um anstelle der
richtigen Datei herunter geladen zu werden.