Sober.Y dominiert die Malware-Aktivitäten der vergangenen Woche
Archivmeldung vom 11.10.2005
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 11.10.2005 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittNeben dem aktivsten Schädling, Sober.Y, beschäftigt sich der Panda Software Rückblick über die Malware-Aktivitäten der vergangenen Woche mit den Trojanern "Format.A" und "Banker.AXW" Beginnen möchten wir den Rückblick dieses Mal mit dem Trojaner "Banker.AXW" dessen Ziel sensible Zugangsdaten und Passwortinformationen sind.
Banker.AXW ist ein Trojaner, der die Postfächer mit unterschiedlichen Betreffzeilen erreicht. In den meisten Fällen beziehen sich diese auf Bank- und Kreditgeschäfte. Banker.AXW protokolliert Textanschläge und zeichnet eingegebene Bankdaten, Passwortinformation und sonstige sensible Daten auf. Die so erlangten Informationen versendet er mit Hilfe diverser PHP Skripte. Banker.AXW stellt, aufgrund der Informationen die er sammelt, eine direkte finanzielle Bedrohung dar und nutzt E-Mail , CD-ROM´s, Disketten, Internet Downloads etc. zur Verbreitung.
Format.A ist ein Trojaner, der sich als Tool zur Ausführung unsignierter PSP-Codes (Playstation Portable) ausgibt. Der Trojaner beschreibt sich selbst als Tool zum "Downgrade" der Bios Version der PSP um illegal kopierte Spiele nutzen zu können. Startet man das vermeintliche Tool erzielt man jedoch genau den gegenteiligen Effekt. Wichtige, zur Ausführung zwingend benötigte Dateien, werden überschrieben und die Konsole zur Ausführung von PSP-Programmen auf dem PC ist anschließend gar nicht mehr funktionstüchtig.
Die meiste Aufmerksamkeit derzeit genießt sicherlich die Y-Variante des altbekannten Sober Wurmes. Er verbreitete sich rasant und löste am vergangenen Donnerstag sogar "Virenalarmstufe Orange" aus.
Wie seine Vorgänger verbreitet sich auch Sober.Y mit Hilfe von E-Mail Nachrichten. Bereits wenige Stunden nachdem er das erste Mal "gesichtet" wurde erhielten die PandaLabs bereits Rückmeldungen aus aller Welt über infizierte Systeme. Neben anderen Quellen war hier der kostenfreie Online Scanner "Panda ActiveScan" maßgeblicher Indikator für die Einschätzung der Verbreitung. Der mehrfach ausgezeichnete Online Scanner ist stets aktuell und sammelt Informationen über die
gefundene und desinfizierte Malware. Panda Software hat auf die sich immer stärker ausbreitende Bedrohung reagiert und allen Nutzern das Desinfizierungs-Tool "PQRemove" kostenfrei zum Download zur Verfügung gestellt. Das Tool kann auf der folgenden Internetseite herunter geladen werden:
http://www.pandasoftware.com/download/utilities/
Die Sprache und der Inhalt der E-Mail mit der Sober.Y die Postfächer der Nutzer erreicht ist abhängig von der Endung der E-Mail Adresse. Endet die Adresse auf .de (Deutschland), .at (Österreich), .ch (Schweiz) oder .li (Liechtenstein) so verweist der Inhalt der deutschsprachigen Mail auf die angehangene Datei "Klassenfoto.zip". An alle restlichen E-Mail Adressen versendet sich der Wurm selbstständig in englischer Sprache und tarnt sich als E-Mail in der der Nutzer ein neues Passwort, welches in der Datei "pword_change.zip" angehangen ist, überprüfen soll. Die komprimierten Dateianhänge sind in beiden Fällen identisch und beinhalten die ausführbare Datei "PW_Klass.Pic.packed-bitmap.exe". Sobald die Datei ausgeführt wird erscheint eine
CRC-Fehlermeldung und der Wurm startet im Hintergrund. Er sucht in dem System nach E-Mail Adressen und startet den Versand an die gefundenen Adressaten entsprechend der Länderkennung wie beschrieben mit Hilfe seiner eigenen SMTP Engine.
Quelle: Panda Software Deutschland