62% aller in den PandaLabs eingegangenen Reports der vergangenen Tage wurden vom Alanchum.VL Trojaner verursacht. Somit ist Alanchum.VL ein gutes Beispiel für den anhaltenden Erfolg und die Popularität von Social Engineering Techniken, die trotz zahlreicher Aufklärungsversuche von Seiten der Medien und der Antivirenhersteller immer wieder ihren Zweck erfüllen. Der Alanchum-Trojaner verbreitet u. a. Meldungen über den Tod von Fidel Castro und Werbung für kostenfreie oder pornografische Produkte.
In E-Mail Anhängen versteckt, schleicht er sich in Systeme und lädt daraufhin den Cimuz.BE Trojaner herunter. Ab diesem Zeitpunkt werden alle Webseiten-Zugriffe des Anwenders mitprotokolliert und vertrauliche Informationen für den Malware-Programmierer gespeichert.
Neben Cimuz.BE hat sich in vergangenen Tagen eine weitere, neue Variante dieses Trojaners im Internet verbreitet: Cimuz.FH. Er legt eine DLL im Browser ab und tarnt diese als Browser Helper Object. Dann aktualisiert er seinen Code online, ohne vom Nutzer bemerkt zu werden. Wie Cimuz.BE stiehlt auch das neue Mitglied dieser Malware-Familie sensible User-Daten und lagert sie in einer Datei ab, die er vorher selber erstellt hat, um sie via HTTP an einen bestimmten Server zu übermitteln.
Der dritte Trojaner des heutigen Rückblicks ist Downloader.OHC, der die gleiche Funktion wie Alanchum.VL hat. Er mogelt sich an Sicherheits-Tools vorbei, um zwei weitere schädliche Codes zu installieren: Das Virus Grum.drp und die Spyware AdClicker.
Grum.drp ist verbunden mit einem Mail Server, der zum Spam-Versand genutzt wird. Durch eine Verbindung mit einem anderen Online Server werden beispielsweise Code Updates generiert. Die Spyware AdClicker hingegen nimmt einige Veränderungen in der Windows Registry und den System-DLLs vor. Über eine URL lädt sie auch noch weitere Malware aufs System. Neben den beiden Schädlingen lädt Downloader.OHC eine PHP Datei herunter, um die gesammelten Daten via HTTP GET weiterzuversenden. Dabei handelt es sich um ein Übertragungsprotokoll, bei dem ein so genannter „Anfrage-Teil“ zum Transfer genutzt wird.
Nachdem Trojaner, Viren und Spyware schon im Wochenbericht erwähnt wurden, widmen wir uns noch einem spannenden Wurm, der sich in der vergangenen Woche mit einer List verbreiten konnte: MSNDiablo.A. Der Verbreitungsprozess verläuft folgendermaßen: Der Wurm versendet sich an alle Kontakte des Anwenders, die an einen MSN Messenger angeschlossen sind. Die versendete Meldung enthält eine Animation, die über einen Link angeklickt werden muss, um zu starten. Klickt der Empfänger tatsächlich darauf, öffnet er Tür und Tor für den Wurm. MSNDiablo.A modifiziert Windows Registry Einträge und versucht verschiedene Dateien herunter zu laden, die allesamt Malware enthalten. Wenn MSNDiablo.A aktiv ist, erscheint eine Fehlermeldung und sowohl der Task-Manager als auch der Windows Registry Editor lassen sich nicht öffnen.
Weitere Details finden Sie in der Panda Software Virenenzyklopädie unter:
http://www.pandasoftware.com/...
Alle Computer-Nutzer können auf der neuen Panda Software Website „Infected or Not?“ (www.infectedornot.com) anhand eines kostenfreien Online-Scans innerhalb kürzester Zeit feststellen, ob ihre Systeme infiziert sind oder nicht.