In dieser Woche sind Panda Software drei Trojaner, ein Wurm und zwei Hacking Tools eine Erwähnung wert.
Den Anfang machen die Versionen AC und AD des Killfiles Trojaners:
Beide Versionen löschen wichtige Dateien des Betriebsystems. Alle Dateien der Windows Directory werden gelöscht. Alle SYSTEM32, SYSTEM, INF und SERVICEPACKFILES Unterordner im Windowsverzeichnis werden gelöscht. Damit noch nicht genug beseitigen die beiden Trojaner auch die NTLDR, NTDETECT.COM, IO.SYS y COMMAND.COM Dateien des Verzeichnisses C:
Um all diese Dateien vom Windows 2003/XP/2000/NT zu entfernen werden Administrator-Rechte benötigt.
Je nach der installierten Windowsversion wird die Nachricht „FALTA NTLDR“ auf dem Bildschirm angezeigt.
Banker.AEP
Ist heute der zweite Trojaner den Panda Software sich genauer angesehen hat. Er beobachtet verschiedene Webseiten, meist brasilianische Finanzinstitute. Findet er Übereinstimmungen zu einer Brasilianischen Bank schließt Banker.AEP das Internet Explorer Fenster und zeigt eine portugiesische Seite an, die der Originalen sehr ähnlich ist. Nun wird der User nach Zugangsdaten gefragt und gibt er diese an versendet der Trojaner die Angaben direkt an zwei eMail Adressen.
Mytob.IJ
Ist ein Wurm, der seine eigene SMTP nutzt, um sich selbst weiter zu versenden. Über einen eigenen IRC Client kann er über einen IRC Server Kommandos erhalten und der Angreifer hat so die Möglichkeit den infizierten Rechner zu administrieren. Zusätzlich nutzt er die LSASS Sicherheitslücke aus.
In den infizierten Rechnern sucht Mytob.IJ nach eMail Adressen, an die er sich weiter versenden kann, vermeidet jedoch sich an Adressen mit bestimmten Textinhalten zu versenden. (z.B. Antivirus)
Beim ersten Ausführen dieses Wurms wird überprüft ob bereits eine aktive Kopie vorhanden ist, falls ja wird diese gelöscht. Zusätzlich werden neue Kopien in verschiedenen Ordnern erstellt: „hellmsn.exe“ wird beispielsweise dazu missbraucht die Dateien „funny_pic.scrsee_this!!.scr“ und „myphoto_2005.scr“ via MSN Messenger zu versenden.
Um die Kommunikation mit bestimmten Webseiten zu unterbinden ändert Mytob.IJ die %windir%\system32\drivers\etc\hosts Datei durch mehrere Einträge ab.
Ip-Harvester
Dieses Hacking Tool basiert auf dem Messenger Service Feature von Windows XP und 2000. Er sendet Werbenachrichten zu Rechnern, die mit dem Internet verbunden sind. Diese Nachrichten erscheinen als Pop-Up von unbekannter Herkunft.
Redhand
Er zeichnet die Namen aller Programme die genutzt werden und die Zeit, wie lange diese geöffnet sind auf. Zusätzlich zeichnet er die Tastaturanschläge des Users auf.
Weitere Informationen über die genannten oder andere Schädlinge können der Panda Software Enzyklopädie entnommen werden: http://www.pandasoftware.com/...