Besonders auffällige Malware-Exemplare waren in der vergangenen Woche die Trojaner Ldpinch.RE, Rizalof.DC und Lootseek.DD. Ebenso aktiv wie das Trojaner-Trio waren auch der Wurm Ircbot.ZN und die Adware PornMagPass, von deren Erscheinen Panda bereits berichtete.
Ldpinch.RE, ein Passwort stehlender Trojaner, versteckt sich in E-Mail Anhängen und wartet darauf von unwissenden Usern freigesetzt zu werden. Er beschafft seinem Programmierer nicht nur Passwörter zu Online Bankdiensten, sondern auch Zugangscodes von Betriebssystemen durch die Windows SAM (Security Access Manager) Datei. Ebenso spannend für den Programmierer sind Passwörter, die in Outlook, The Bat oder in ICQ Programmen abgelegt sind. Wenn Ldpinch.RE die benötigten Informationen besorgt und versendet hat, hinterlässt er ein offenes Hintertürchen für weitere Malware.
Die Trojaner Lootseek.DD und Rizalof.DC starten seit vergangener Woche kombinierte Angriffe über E-Mail Anhänge. Zuerst stellt der Backdoor Trojaner Lootseek.DD eine Verbindung zu einem IRC Server her, um Befehle seines Programmierers bezüglich des weiteren Vorgehens zu erhalten. Um nicht identifiziert zu werden, beendet er Prozesse von Antiviren Lösungen und Windows Updates. Er legt die beiden Dateien „Smss.exe“ (eine Kopie seines Codes) und „Nvsvcd.exe“ an und registriert sich als ein Systemservice an („Windows Log“). Zudem transportiert er den Trojaner Rizalof.DC, der sich wiederum mit mehreren Webseiten verbindet, um Listen mit Namen und E-Mail Adressen für das Versenden von Spams zu empfangen.
Ircbot.Zn verbreitet sich über LSASS, RPC DCOM und UPnP Windows Betriebssystem-Schwachstellen. Der Wurm verfügt über Backdoor Funktionalitäten. Er installiert einen FTP Server auf befallenen Systemen, um sich weiter verbreiten zu können und verbindet sich mit einem IRC Server, um seinen Programmierer zu kontaktieren.
PornMagPass ist eine Adware, die von verschiedenen Seiten im Web verbreitet wird. Über die alt bewährte Masche eines kostenfreien Zugriffs auf Erotikseiten, erschleicht sich die Adware einen Zutrittspunkt zu anvisierten Systemen. Während der Installation wird der Nutzer dazu aufgefordert, eine Vereinbarung zu akzeptieren, um Plugins und andere Komponenten des Programms nutzen zu können. Tatsächlich lädt die Malware einen Spyware Code und die Anti-Spyware Applikation „SpywareQuake“ aufs System. Daraufhin informiert die Adware den Anwender über die erfolgte Infizierung und bietet ihm die Applikation kostenpflichtig an, um das Problem reibungslos zu beheben. Die fingierte Sicherheitslösung zeigt sogar unechte Fehlermeldungen an, auf denen angezeigt wird, dass Webseiten, die angeblich Malware enthalten sollen, geblockt werden.
Ldpinch.RE, ein Passwort stehlender Trojaner, versteckt sich in E-Mail Anhängen und wartet darauf von unwissenden Usern freigesetzt zu werden. Er beschafft seinem Programmierer nicht nur Passwörter zu Online Bankdiensten, sondern auch Zugangscodes von Betriebssystemen durch die Windows SAM (Security Access Manager) Datei. Ebenso spannend für den Programmierer sind Passwörter, die in Outlook, The Bat oder in ICQ Programmen abgelegt sind. Wenn Ldpinch.RE die benötigten Informationen besorgt und versendet hat, hinterlässt er ein offenes Hintertürchen für weitere Malware.
Die Trojaner Lootseek.DD und Rizalof.DC starten seit vergangener Woche kombinierte Angriffe über E-Mail Anhänge. Zuerst stellt der Backdoor Trojaner Lootseek.DD eine Verbindung zu einem IRC Server her, um Befehle seines Programmierers bezüglich des weiteren Vorgehens zu erhalten. Um nicht identifiziert zu werden, beendet er Prozesse von Antiviren Lösungen und Windows Updates. Er legt die beiden Dateien „Smss.exe“ (eine Kopie seines Codes) und „Nvsvcd.exe“ an und registriert sich als ein Systemservice an („Windows Log“). Zudem transportiert er den Trojaner Rizalof.DC, der sich wiederum mit mehreren Webseiten verbindet, um Listen mit Namen und E-Mail Adressen für das Versenden von Spams zu empfangen.
Ircbot.Zn verbreitet sich über LSASS, RPC DCOM und UPnP Windows Betriebssystem-Schwachstellen. Der Wurm verfügt über Backdoor Funktionalitäten. Er installiert einen FTP Server auf befallenen Systemen, um sich weiter verbreiten zu können und verbindet sich mit einem IRC Server, um seinen Programmierer zu kontaktieren.
PornMagPass ist eine Adware, die von verschiedenen Seiten im Web verbreitet wird. Über die alt bewährte Masche eines kostenfreien Zugriffs auf Erotikseiten, erschleicht sich die Adware einen Zutrittspunkt zu anvisierten Systemen. Während der Installation wird der Nutzer dazu aufgefordert, eine Vereinbarung zu akzeptieren, um Plugins und andere Komponenten des Programms nutzen zu können. Tatsächlich lädt die Malware einen Spyware Code und die Anti-Spyware Applikation „SpywareQuake“ aufs System. Daraufhin informiert die Adware den Anwender über die erfolgte Infizierung und bietet ihm die Applikation kostenpflichtig an, um das Problem reibungslos zu beheben. Die fingierte Sicherheitslösung zeigt sogar unechte Fehlermeldungen an, auf denen angezeigt wird, dass Webseiten, die angeblich Malware enthalten sollen, geblockt werden.
