138094

Malware: Tomb Raider schlägt zurück

10.08.2007 | 10:40 Uhr |

Die nächste Welle von Mails, deren Anhang vorgeblich ein Spiel mit pornografischen Inhalten darstellen soll, schwappt in die Mailboxen. Nach Lara Croft dient nun Luke Skywalker neben den Namen von Hollywood-Promis als Zugpferd.

Nackte Tatsachen ziehen immer - auch bei der Verbreitung von Malware. Diese alte Regel machen sich die Programmierer von Schädlingen aus der Familie "Mal/Dropper-L" zunutze. In der letzten Woche verbreiteten sie Mails, die Nacktfotos und ein Spiel mit Hollywood-Schönheiten versprachen. Auch die Tomb-Raider-Protagonistin Lara Croft diente als Lockvogel. In dieser Woche berichtet der britische Antivirus-Hersteller Sophos über die Fortsetzung dieser Malware-Kampagne .

Die Mails kommen mit Betreffzeilen wie "You ask me about this game, Here is it", "Here is it", "Hot pictures", "Something hot" oder "Hot game". Der Text lautet zum Beispiel "Amusing game. Angelina Jolie f**** Luke Skywalker... In your attachemnt." Wahlweise kommen auch "Dart Wader" (sic!) und Harry Potter in Verbindung mit den Namen verschiedener weiblicher Stars zum Einsatz. Im Anhang steckt ein ZIP-Archive namens "game.zip", das eine Datei "game.exe" enthält.

Bei dieser EXE-Datei handelt es sich um einen Trojan-Downloader - um eben jenen von Sophos als "Mal/Dropper-L" bezeichneten Schädling. Dieser lädt weitere Malware aus dem Internet nach und installiert das gleiche Rootkit wie sein Vorgänger (runtime.sys, runtime2.sys) sowie einen Spam-Proxy. Bei Avira heißt der Schädling Worm/Ntech.C , wird also als Wurm eingestuft, weil er nicht nur Spam sondern auch sich selbst per Mail verschickt. Symantec ordnet alle Komponenten unter Trojan.Pande x ein.

Erkennung durch Antivirus-Software:

Antivirus

game.exe

runtime.sys

AntiVir

Worm/Ntech.C

RKit/Agent.DW.5

Avast!

Win32:Agent-JXL [Wrm]

---

AVG

Downloader.Small.AAN

Downloader.Agent.PNZ

A-Squared

---

Rootkit.Win32.Agent.dw

Bitdefender

Trojan.Dropper.RIE

Rootkit.Agent.GK

ClamAV

Trojan.Downloader-12263

Trojan.Rootkit-178

Command AV

W32/Downldr2.AOUA

W32/Rootkit.YY

Dr Web

Trojan.DownLoader.29657

BackDoor.Bulknet

eSafe

Win32.Agent.brk

Win32.Pandex

eTrust

---

Win32/Cutwail!generic

Ewido

---

Rootkit.Agent.dw

F-Prot

W32/Downldr2.AOUA

W32/Rootkit.YY

F-Secure

Trojan-Downloader.Win32.Agent.brk

Rootkit.Win32.Agent.dw

Fortinet

W32/Agent.BSG!tr.dldr

W32/Agent.DW!tr.rkit

Ikarus

Trojan-Downloader.Win32.Agent.brl

Rootkit.Win32.Agent.dw

Kaspersky

Trojan-Downloader.Win32.Agent.brk

Rootkit.Win32.Agent.dw

McAfee

Spy-Agent.bg

Spy-Agent.bv!rootkit

Microsoft

TrojanDownloader:Win32/Agent!F581

VirTool:WinNT/Marun.gen!A

Nod32

Win32/TrojanDownloader.Agent.BRK

Win32/Rootkit.Agent.DW

Norman

W32/Agent.BYFK

W32/Rootkit.AIX

Panda

Trj/Spammer.ADK

Trj/Downloader.MDW

QuickHeal

TrojanDownloader.Agent.brk

Rootkit.Agent.dw

Rising AV

---

RootKit.Win32.Agent.dw

Sophos

Mal/Dropper-L

Troj/NTRootK-BY

Spybot S&D

---

---

Symantec

Trojan.Pandex

Trojan.Pandex

Trend Micro

TROJ_AGENT.RXD

TROJ_ROOTKIT.EA

VBA32

---

Rootkit.Win32.Agent.dw

VirusBuster

Trojan.DL.Agent.Gen.8

Rootkit.Agent.IUK

WebWasher

Worm.Ntech.C

Rootkit.Agent.DW.5

GData AVK 2007 **

Trojan-Downloader.Win32.Agent.brk

Rootkit.Win32.Agent.dw

Quelle: AV-Test , Stand: 09.08.2007, 22 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
138094