Mittels einer verschlüsselten dll-Datei nistet sich der Trojaner in das Verzeichnis „windows\system32\netconf32.dll“ ein. Einmal ausgeführt tritt der Schädling über mehrere „Meeting Spots“ mit dem Remote-Angreifer in Verbindung.

Spionage durch die Hintertür

Spy.YEK schadet dem infizierten System gleich zweifach: Zum einen erlauben es ihm seine Backdoor-Eigenschaften, sich als Service-Tool zu regis¬trieren. Dadurch empfängt und befolgt Spy.YEK regelmäßig Anweisungen von einem Command & Control (C&C)-Server, den Cyberkriminelle überwachen und steuern. Zum anderen versendet der Schädling mittels seiner Spyware-Komponente vertrauliche Informationen über Dateien und das Betriebssystem. Außerdem erstellt er Screenshots von laufenden Prozessen und leitet diese an den Angreifer weiter.

Spy.YEK durchsucht sämtliche Dateien, die auf Archive, E-Mails (.eml, .dbx), Addressbücher (.wab), Datenbanken und Dokumente (.doc, .odt, .pdfetc) verweisen. Dazu nutzt er insbesondere so genannte GET-Requests. Um diese Informationen dem Angreifer zu übermitteln, verwendet der Trojaner unter anderem Screenshots, die er auf einem FTP-Server hochlädt.

Um sich vor derartigen Attacken zu schützen, empfiehlt BitDefender den Download und die Installation einer zuverlässigen Sicherheitssoftware (www.bitdefender.de/solutions) mit Antiviren-, Antispam-, Antiphishing- und Firewall-Schutz. Die BitDefender-Virenscanner erkennen den Trojaner frühzeitig und beseitigen ihn zuverlässig.

Quelle: BitDefender GmbH