Report der Malwareaktivitäten der vergangenen Woche
Duisburg, 04. März 2005
Der heutige Bericht ist ein Gemisch aus 2 Würmern Bagle.BN und Mytob.A sowie zwei Trojanern Mitglieder.BO und Tofger.AT.
Bagle.BN
Mitglieder.BO
Bagle.BN und Mitglieder.BO arbeiten Hand in Hand zusammen um sich zu verbreiten. Mitglieder.BO erreicht den Computer via eMail mit einem Dateianhang wie price.zip oder price2.zip. Sobald diese Datei gestartet wird ist der Trojaner aktiv und versucht eine Internetverbindung herzustellen. Klappt diese Verbindung lädt er den Bagle.BN Wurm auf das System herunter. Soblad Bagle.BN installiert ist sendet er wiederum Mitglieder.BO an alle Adressen die er auf dem infizierten PC in der Datei EML.exe finden kann durch seine eigene SMTP Engine weiter.
Mitglieder.BO versucht außerdem Prozesse von Antivirenprogrammen zu beenden und überschreibt die Windows Hosts Datei um den User davon abzuhalten bestimmte Webseiten anzuwählen. Er löscht Einträge aus der Windows Registy um sicher zu stellen bei jedem Systemstart wieder ausgeführt zu werden und alle 6 Stunden versucht er erneut Bagle.BN herunter zu laden.
Bagle.BN öffnet den TCP Port 80, überwacht ihn und wartet auf weitere Anweisungen. Auf diese Weise ermöglicht er Hackern den Zugriff auf das infizierte System.
Mytob.A
Dieser Wurm verbreitet sich via eMail mit variablen Eigenschaften, sowie über das Internet. Er greift wahllos IP Adressen über die LSASS Schwachstelle an. Mytob verbindet sich mit einem IRC Server und wartet auf weitere Anweisungen, die er auf dem infizierten Rechner ausführen soll. Zusätzlich löscht er Einträge von Netsky, Sobig, Bagle und Blaster.
Tofger.AT
Dieser Trojaner lädt beim Besuch von verschiedenen Webseiten über einige Exploits wie LoadImage, ByteVerify und MhtRedir.gen Malware auf den Rechner herunter. Der Trojaner installiert sich selbst als ein BHO, Browser Helper Object, so dass er bei jedem Start des Internet Explorers geöffnet wird.
Tofger.AT protokolliert die Aktionen, die der User ausgeführt hat, zusätzlich notiert er Passwörter, die zum Zugang über HTTPS Verbindungen genutzt wurden. (z.B. Onlinebanking) Beim Aufruf bestimmter URLs versucht er die Passwörter verschiedener Banken zu knacken.
Schafft er es sendet er die Informationen an einen Server.
Weitere Informationen erhalten Sie unter: http://www.pandasoftware.com/...
Die Meldung finden Sie hier im HTML Format: http://www.panda-software.de/...
Duisburg, 04. März 2005
Der heutige Bericht ist ein Gemisch aus 2 Würmern Bagle.BN und Mytob.A sowie zwei Trojanern Mitglieder.BO und Tofger.AT.
Bagle.BN
Mitglieder.BO
Bagle.BN und Mitglieder.BO arbeiten Hand in Hand zusammen um sich zu verbreiten. Mitglieder.BO erreicht den Computer via eMail mit einem Dateianhang wie price.zip oder price2.zip. Sobald diese Datei gestartet wird ist der Trojaner aktiv und versucht eine Internetverbindung herzustellen. Klappt diese Verbindung lädt er den Bagle.BN Wurm auf das System herunter. Soblad Bagle.BN installiert ist sendet er wiederum Mitglieder.BO an alle Adressen die er auf dem infizierten PC in der Datei EML.exe finden kann durch seine eigene SMTP Engine weiter.
Mitglieder.BO versucht außerdem Prozesse von Antivirenprogrammen zu beenden und überschreibt die Windows Hosts Datei um den User davon abzuhalten bestimmte Webseiten anzuwählen. Er löscht Einträge aus der Windows Registy um sicher zu stellen bei jedem Systemstart wieder ausgeführt zu werden und alle 6 Stunden versucht er erneut Bagle.BN herunter zu laden.
Bagle.BN öffnet den TCP Port 80, überwacht ihn und wartet auf weitere Anweisungen. Auf diese Weise ermöglicht er Hackern den Zugriff auf das infizierte System.
Mytob.A
Dieser Wurm verbreitet sich via eMail mit variablen Eigenschaften, sowie über das Internet. Er greift wahllos IP Adressen über die LSASS Schwachstelle an. Mytob verbindet sich mit einem IRC Server und wartet auf weitere Anweisungen, die er auf dem infizierten Rechner ausführen soll. Zusätzlich löscht er Einträge von Netsky, Sobig, Bagle und Blaster.
Tofger.AT
Dieser Trojaner lädt beim Besuch von verschiedenen Webseiten über einige Exploits wie LoadImage, ByteVerify und MhtRedir.gen Malware auf den Rechner herunter. Der Trojaner installiert sich selbst als ein BHO, Browser Helper Object, so dass er bei jedem Start des Internet Explorers geöffnet wird.
Tofger.AT protokolliert die Aktionen, die der User ausgeführt hat, zusätzlich notiert er Passwörter, die zum Zugang über HTTPS Verbindungen genutzt wurden. (z.B. Onlinebanking) Beim Aufruf bestimmter URLs versucht er die Passwörter verschiedener Banken zu knacken.
Schafft er es sendet er die Informationen an einen Server.
Weitere Informationen erhalten Sie unter: http://www.pandasoftware.com/...
Die Meldung finden Sie hier im HTML Format: http://www.panda-software.de/...
