Die Auswertungen der Infizierungen der vergangenen Woche haben einmal wieder gezeigt, dass proaktive Erkennungstechnologien ein notwendiger Bestandteil von Sicherheitslösungen sind: Bei allen drei Schädlingen, die aufgrund ihrer Verbreitung in der vergangenen Woche aufgefallen sind, handelt es sich um nicht identifizierte, neue Exemplare, die zu keiner bekannten Malware-Familie gehören. Diese sind der Trojaner Burglar.A sowie die beiden Würmer USBToy.A und Naiba.A.
Der Burglar.A Trojaner kann für betroffene User auf vielfältige Weise schädlich sein. Er erschleicht sich die Aufmerksamkeit des Anwenders, indem er angibt, eine Eilmeldung über den Gesundheitszustand des Premierministers von Australien zu überbringen. Einige bekannte Betreffzeilen lauten: „Prime Minister survived a heard attack“ oder „The life of the Prime Minister is in grave danger“. Der Trojaner nutzt zwei verschiedene Verbreitungswege. Er versteckt sich entweder im Anhang einer ausführbaren Datei in einer E-Mail Nachricht oder auf einer Webseite, die über einen Link in einer Junk Mail angeklickt wird. Wird die angehangene Datei geöffnet oder der Link angeklickt, installiert sich Burglar.A selbständig auf den entsprechenden Computer. Der Programmierer der Malware erhält daraufhin vom Trojaner Informationen zum infizierten Rechner (IP, Standort, etc) über Google Maps. Sobald er die entsprechende Karte öffnet, bekommt er alle nötigen Details, um den Rechner zu lokalisieren.
Zudem lädt Burglar.A folgende Trojaner herunter:
- Keylog.LN: Auf der Suche nach User-Logins protokolliert er Tastaturanschläge mit.
- Banker.CLJ: Verhindert das Laden von Webseiten zu Online Bankdiensten und ersetzt diese durch eine von ihm generierte Seite, auf der Anwender zur Eingabe von vertraulichen Daten aufgefordert werden.
- FileStealer.A: Installiert einen Webserver auf dem infizierten Rechner. Indem der Programmierer über eine Webseite Zugriff auf diesen Webserver erhält, kann er den Computer ferngesteuert kontrollieren.
- Step.P: Hindert den User daran, Webseiten von Sicherheitsunternehmen zu öffnen.
Die beiden aktivsten Würmer der vergangenen Woche waren USBToy.A und Naiba.A. Beide Eindringlinge verbreiten sich über USB-Sticks, MP3-Player und weitere USB-Geräte.
Wenn zwischen dem verseuchten USB-Stick und einem Computer eine Verbindung aufgebaut wird, kopiert USBToy.A sich in eine versteckte Datei und infiziert den Computer. Bei jedem Neustart öffnet sich auf dem Windows Desktop ein Fenster, in dem chinesische Schriftzeichen angezeigt werden.
Der Naiba.W Wurm kopiert hingegen nicht nur seinen eigenen Code, sondern ebenso die Datei „autorun.exe“ auf den infizierten Computer, und zwar auf allen Laufwerken. Er deaktiviert Prozesse von Sicherheits-Tools und verändert die Windows Registry Einträge. Eine dieser Veränderungen betrifft den Cryptsvc Service, der den User darüber informieren soll, dass Modifikationen stattgefunden haben. Der Naiba-Wurm hindert den User beispielsweise daran, den Notepad zu öffnen und die Option versteckte Dateien anzuzeigen.
Der Burglar.A Trojaner kann für betroffene User auf vielfältige Weise schädlich sein. Er erschleicht sich die Aufmerksamkeit des Anwenders, indem er angibt, eine Eilmeldung über den Gesundheitszustand des Premierministers von Australien zu überbringen. Einige bekannte Betreffzeilen lauten: „Prime Minister survived a heard attack“ oder „The life of the Prime Minister is in grave danger“. Der Trojaner nutzt zwei verschiedene Verbreitungswege. Er versteckt sich entweder im Anhang einer ausführbaren Datei in einer E-Mail Nachricht oder auf einer Webseite, die über einen Link in einer Junk Mail angeklickt wird. Wird die angehangene Datei geöffnet oder der Link angeklickt, installiert sich Burglar.A selbständig auf den entsprechenden Computer. Der Programmierer der Malware erhält daraufhin vom Trojaner Informationen zum infizierten Rechner (IP, Standort, etc) über Google Maps. Sobald er die entsprechende Karte öffnet, bekommt er alle nötigen Details, um den Rechner zu lokalisieren.
Zudem lädt Burglar.A folgende Trojaner herunter:
- Keylog.LN: Auf der Suche nach User-Logins protokolliert er Tastaturanschläge mit.
- Banker.CLJ: Verhindert das Laden von Webseiten zu Online Bankdiensten und ersetzt diese durch eine von ihm generierte Seite, auf der Anwender zur Eingabe von vertraulichen Daten aufgefordert werden.
- FileStealer.A: Installiert einen Webserver auf dem infizierten Rechner. Indem der Programmierer über eine Webseite Zugriff auf diesen Webserver erhält, kann er den Computer ferngesteuert kontrollieren.
- Step.P: Hindert den User daran, Webseiten von Sicherheitsunternehmen zu öffnen.
Die beiden aktivsten Würmer der vergangenen Woche waren USBToy.A und Naiba.A. Beide Eindringlinge verbreiten sich über USB-Sticks, MP3-Player und weitere USB-Geräte.
Wenn zwischen dem verseuchten USB-Stick und einem Computer eine Verbindung aufgebaut wird, kopiert USBToy.A sich in eine versteckte Datei und infiziert den Computer. Bei jedem Neustart öffnet sich auf dem Windows Desktop ein Fenster, in dem chinesische Schriftzeichen angezeigt werden.
Der Naiba.W Wurm kopiert hingegen nicht nur seinen eigenen Code, sondern ebenso die Datei „autorun.exe“ auf den infizierten Computer, und zwar auf allen Laufwerken. Er deaktiviert Prozesse von Sicherheits-Tools und verändert die Windows Registry Einträge. Eine dieser Veränderungen betrifft den Cryptsvc Service, der den User darüber informieren soll, dass Modifikationen stattgefunden haben. Der Naiba-Wurm hindert den User beispielsweise daran, den Notepad zu öffnen und die Option versteckte Dateien anzuzeigen.
