Banker-Trojaner sind momentan die am häufigsten vertretene Trojaner-Art – dieses Ergebnis lieferte eine Studie von Panda Software, die vor einigen Tagen veröffentlicht wurde. Auch die beiden Trojaner des heutigen Wochenberichtes, Alanchum.NX und Cimuz.CM, sind auf der Suche nach vertraulichen Bankdaten und bestätigen somit den aktuellen Trend. Ebenso berichten wir vom Wurm Nuwar.D.
Der Trojaner Alanchum.NX wird von Gagar.CG, einem weiteren Trojaner, herunter geladen, um Dateien aus dem Internet zu laden, sie zu installieren und auszuführen. Alle E-Mail Adressen, die er auf dem infizierten System findet, sammelt er und schickt diese zu einer Website. Bei jeder neuen Infizierung fügt er die neuen Adressen hinzu. Diese werden wiederum an alle weiteren von Alanchum.NX befallenen Rechner weitergeleitet und für den Versand von Spam-Mails genutzt. Das Ergebnis dieser „Kettenreaktion“ ist ein signifikanter Anstieg des Netzwerk-Traffics sowie ein hoher Verbrauch an Ressourcen.
Der 54,435 Bytes große Alanchum-Trojaner bringt neue Varianten in Umlauf, indem er eigene Updates herunter lädt und die Betreffzeile der von ihm zu versendenden Nachrichten ändert. Mit Meldungen wie u. a. „Fidel Castro Dead“, „Hugo Chávez Dead“ oder „Saddam Hussein Alive“ versucht er User zum Öffnen des Anhangs zu locken.
Einige Alanchum.NX-Varianten besitzen Rootkit-Funktionalitäten. Damit verheimlichen sie Prozesse, die sie in Gang setzen und von ihnen angelegte Windows Registry Einträge. Der Trojaner liefert keine Anzeichen einer Infektion und ist deshalb schwer zu entdecken.
Die proaktiven TruPrevent-Technologien von Panda Software sind trotzdem in der Lage alle Alanchum-Muster aufgrund einer Analyse des Schädlings-Verhaltens zu erkennen und zu blocken.
Der zweite Trojaner ist Cimuz.CM – ein Eindringling, der seine Kopien über E-Mails und Datei-Downloads auf Computern streut und vertraulichen Informationen, wie beispielsweise Passwörter, aufspürt. Das ist aber noch nicht alles. Zusätzlich versucht Cimuz.CM von der Website www.markhow.com eine Datei herunter zu laden, die eine unter Microsoft verwendete Programmbibliothek (DLL) beinhaltet. In der Windows System Directory legt der Trojaner zwei Dateien an: „Acluin.exe“, die eine Kopie seines Codes enthält, und „IFTB.exe“.
Folgende Fehlermeldungen erscheinen bei einer Infizierung durch den 13,312 Bytes großen Trojaner: „Acrobat Reader ERROR 31847“ oder „Acrobat 6 – Error Warning 20225“.
Die Verbreitung erfolgt über Floppy Disks, CD-ROMs, E-Mail-Anhänge, Internet Downloads, FTP, IRC Channels oder P2P File Sharing Networks.
Der Nuwar.D Wurm lädt verschiedene Malware-Exemplare, darunter auch seine eigenen Updates, auf betroffene Systeme und führt sie aus. Die Betreffzeilen in den E-Mails, die den Wurm transportieren, variieren, während der Name der Datei zwischen „Flash Postcard.exe“, „Greetings Card.exe“, „Greetings Postcard.exe“ und „Postcard.exe“ wechselt.
Nuwar.D verbreitet sich über zwei Wege: Er legt Kopien seines Codes in zufällig generierten IPs ab und sucht nach P2P Exchange Netzwerken. Besteht eine solche Verbindung, benennt sich der Wurm um und gibt sich dem Namen einer bereits bestehenden Datei, um anstelle der richtigen Datei herunter geladen zu werden.
Der Trojaner Alanchum.NX wird von Gagar.CG, einem weiteren Trojaner, herunter geladen, um Dateien aus dem Internet zu laden, sie zu installieren und auszuführen. Alle E-Mail Adressen, die er auf dem infizierten System findet, sammelt er und schickt diese zu einer Website. Bei jeder neuen Infizierung fügt er die neuen Adressen hinzu. Diese werden wiederum an alle weiteren von Alanchum.NX befallenen Rechner weitergeleitet und für den Versand von Spam-Mails genutzt. Das Ergebnis dieser „Kettenreaktion“ ist ein signifikanter Anstieg des Netzwerk-Traffics sowie ein hoher Verbrauch an Ressourcen.
Der 54,435 Bytes große Alanchum-Trojaner bringt neue Varianten in Umlauf, indem er eigene Updates herunter lädt und die Betreffzeile der von ihm zu versendenden Nachrichten ändert. Mit Meldungen wie u. a. „Fidel Castro Dead“, „Hugo Chávez Dead“ oder „Saddam Hussein Alive“ versucht er User zum Öffnen des Anhangs zu locken.
Einige Alanchum.NX-Varianten besitzen Rootkit-Funktionalitäten. Damit verheimlichen sie Prozesse, die sie in Gang setzen und von ihnen angelegte Windows Registry Einträge. Der Trojaner liefert keine Anzeichen einer Infektion und ist deshalb schwer zu entdecken.
Die proaktiven TruPrevent-Technologien von Panda Software sind trotzdem in der Lage alle Alanchum-Muster aufgrund einer Analyse des Schädlings-Verhaltens zu erkennen und zu blocken.
Der zweite Trojaner ist Cimuz.CM – ein Eindringling, der seine Kopien über E-Mails und Datei-Downloads auf Computern streut und vertraulichen Informationen, wie beispielsweise Passwörter, aufspürt. Das ist aber noch nicht alles. Zusätzlich versucht Cimuz.CM von der Website www.markhow.com eine Datei herunter zu laden, die eine unter Microsoft verwendete Programmbibliothek (DLL) beinhaltet. In der Windows System Directory legt der Trojaner zwei Dateien an: „Acluin.exe“, die eine Kopie seines Codes enthält, und „IFTB.exe“.
Folgende Fehlermeldungen erscheinen bei einer Infizierung durch den 13,312 Bytes großen Trojaner: „Acrobat Reader ERROR 31847“ oder „Acrobat 6 – Error Warning 20225“.
Die Verbreitung erfolgt über Floppy Disks, CD-ROMs, E-Mail-Anhänge, Internet Downloads, FTP, IRC Channels oder P2P File Sharing Networks.
Der Nuwar.D Wurm lädt verschiedene Malware-Exemplare, darunter auch seine eigenen Updates, auf betroffene Systeme und führt sie aus. Die Betreffzeilen in den E-Mails, die den Wurm transportieren, variieren, während der Name der Datei zwischen „Flash Postcard.exe“, „Greetings Card.exe“, „Greetings Postcard.exe“ und „Postcard.exe“ wechselt.
Nuwar.D verbreitet sich über zwei Wege: Er legt Kopien seines Codes in zufällig generierten IPs ab und sucht nach P2P Exchange Netzwerken. Besteht eine solche Verbindung, benennt sich der Wurm um und gibt sich dem Namen einer bereits bestehenden Datei, um anstelle der richtigen Datei herunter geladen zu werden.
