Contact
QR code for the current URL

Story Box-ID: 90405

TREND MICRO Deutschland GmbH Parkring 29 85748 Garching, Germany http://www.trendmicro.de
Contact Ms Hana Göllnitz +49 89 37479863
Company logo of TREND MICRO Deutschland GmbH
TREND MICRO Deutschland GmbH

Trend Micro warnt vor TROJ_SMALL.EDW: Malware baut Peer-to-Peer-Botnet auf

Die Malware TROJ_SMALL.EDW schützt sich aktiv vor Entdeckung und verbindet infizierte Computer mit einem eigenen Peer-to-Peer-Netzwerk

(PresseBox) (Unterschleißheim, )
Trend Micro (Nasdaq: TMIC, TSE: 4704) warnt alle Computernutzer vor TROJ_SMALL.EDW. Der Web Threat verbreitet sich aktuell per Spam-Mails und auch über andere Malware. Als einer der ersten Trojaner versucht TROJ_SMALL.EDW, infizierte Computer zu einem Peer-to-Peer-Netzwerk zu verbinden, über das neue Komponenten heruntergeladen werden. Darüber hinaus verfügt die Malware über ein Rootkit, das die Identifikation von infizierten Computern erschwert.

Der Web Threat beinhaltet einen Trojaner, der von Trend Micro als TROJ_SMALL.EDW erkannt wird und durch eine Vielzahl von Varianten gekennzeichnet ist. Die Verbreitung erfolgt über zwei unterschiedliche Kanäle:

- Verschiedene Malicious Codes, darunter insbesondere WORM_NUWAR.CQ, hinterlassen eine Datei auf infizierten Systemen, bei der es sich um TROJ_SMALL.EDW handelt. WORM_NUWAR.CQ ist ein Mass-Mailing-Wurm und verbreitet sich über E-Mails mit Betreffzeilen zum Thema Liebe. "The Miracle of Love", "My Perfect Love" und "A Bouquet of Love" sind nur einige der vielen möglichen Email-Titel.

- Vielen Anwender erhalten TROJ_SMALL.EDW zudem als Dateianhang einer Spam-E-Mail, die sich mit ihren Betreffzeilen auf bestimmte aktuelle Ereignisse beziehen. Durch Titel wie "230 Dead as Storm Batters Europe" sollen Empfänger dazu gebracht werden, den Dateianhang zu öffnen und auszuführen. Andere mögliche Betreffzeilen sind: "A Killer at 11, He's Free at 21 to Kill Again", "British Muslims Genocide" und "U.S. Secretary of State Condoleeza Rice has Kicked German Chancellor Angela Merkel".

Bei der zweiten Verbreitungsvariante über E-Mail greift die Malware nach dem Start auf das Web zu, um einen Trojan Downloader zu finden und herunterzuladen. Gelingt dies, startet der Trojan Downloader wiederum den Download von zusätzlichen Malware-Komponenten. Infizierte PCs werden darüber hinaus mit einem Peer-to-Peer-Netzwerk für Malware verbunden, um weitere Module dieses Multi-Komponenten-Angriffs herunterzuladen. Damit werden aus befallenen Systemen sogenannte Bots, auch wenn die Malware keine der bislang üblichen Bot-Techniken verwendet. Die Bedrohung durch TROJ_SMALL.EDW hat somit nicht nur ihren Ursprung im Web, sondern wird auch über das Web kontrolliert.

Außerdem verfügt WINCOM32.SYS, eine Komponente des Trojaners, über Rootkit-Fähigkeiten. Der Trojaner kann dadurch seine Dateien und Prozesse verstecken, um die Entdeckung zu erschweren.

Laut Ivan Macalintal, Senior Threat Analyst bei Trend Micro, verwendet der Trojaner zwar die üblichen Verbreitungsmethoden, ist aber trotzdem in gewisser Weise einzigartig: "Als einer der ersten Trojaner versucht TROJ_SMALL.EDW, ein großangelegtes Peer-to-Peer-Botnet aufzubauen. In den meisten Fällen verwenden Botnets den IRC (Internet Relay Chat) für die sogenannten C&C (Command and Control)-Funktionen. Da IRC immer leichter zu erkennen ist, entwickeln die Malware-Programmierer nun offenbar neue Techniken."

Bei der Verbreitung über E-Mail kommen erneut Social-Engineering-Techniken zum Einsatz: Die Betreffzeilen nehmen Bezug auf aktuelle Ereignisse oder auch das Thema "Liebe" - vielleicht inspiriert vom bevorstehenden Valentinstag. Durch die Nachrichtentitel sollen arglose Empfänger dazu bewegt werden, den infizierten E-Mail-Anhang auszuführen, der angeblich ein Video zum Thema enthält. Für die Malware-Datei werden Namen wie full Clip.exe, full Story.exe, full Video.exe und read More.exe verwendet.


Trend Micro empfiehlt Sicherheitsmaßnahmen

Zum Schutz vor TROJ_SMALL.EDW und anderen Bedrohungen rät Trend Micro allen Unternehmen und Privatanwendern zu folgenden Sicherheitsmaßnahmen:

- PCs und Netzwerke müssen durch URL-Filtering sowie einen Rootkit- und Email-Scanner geschützt werden.

- IT-Administratoren sollten zum Schutz ihrer Anwender bestimmte URLs blockieren. Trend Micro hat eine entsprechende URL-Liste erstellt und ins Web gestellt. Zu finden ist die Liste auf der Technical-Details-Seite der Beschreibung zu TROJ_SMALL.EDW unter: http://www.trendmicro.com/...

- Wenn keine ausreichende URL-Filtering-Funktionalität zur Verfügung steht, muss der Zugriff auf alle URLs blockiert werden, die auf der folgenden Webseite aufgeführt sind:
http://www.trendmicro.com/...

- Darüber hinaus sollten Anwender nur bereits bekannte Webseiten besuchen, Dateien nicht aus unbekannten Quellen herunterladen und keine E-Mails oder Dateianhänge öffnen, wenn der Absender unbekannt ist. Dies gilt insbesondere für an Emails angehängte Dateien mit der Endung ".exe". Trend Micro empfiehlt daher, entsprechende Dateianhänge falls möglich bereits am Email-Gateway zu blockieren.

- Anwender von Trend Micro Lösungen sollten bei Verdacht einer Infektion für eine Pattern-Aktualisierung sorgen und danach einen manuellen Scan durchführen. Darüber hinaus bietet Trend Micro mit Housecall einen kostenfreien Onlinescanner für alle Computernutzer. Housecall steht unter folgender URL bereit: www.housecall.de

- Zum Schutz vor Rootkits empfiehlt sich zudem ein Scan mit dem Trend Micro Rootkit-Buster. Das Programm kann kostenlos heruntergeladen werden unter: http://www.trendmicro.com/...
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.