23918

Und ewig lockt das Weib

28.03.2007 | 16:06 Uhr |

Porno zieht noch immer, das zeigt auch die neueste Malware eindrücklich. Ein Trojanisches Pferd wird über einen Link in einer Mail auf den Rechner geladen und installiert ein Rootkit, wie Antivirus-Firmen warnen.

Der britische Antivirus-Hersteller Sophos warnt von einem Trojanischen Pferd, das über Links in Spam-artig verbreiteten Mails verteilt wird. Die Mails tragen einen Betreff wie "FREE PORNO" und versprechen "heiße Fotos" von einer Geburtstagsfeier. Sie enthalten einen Link, der vorgeblich eine solche Fotosammlung herunter laden soll, tatsächlich handelt es sich jedoch um das Trojanische Pferd "Troj/Pushu-A", bei McAfee als " Spy-Agent.bv.dldr " bekannt.

Als Link-Text wird zum Beispiel "photo.rar" angezeigt, während dann eine "foto.exe" (Größe: 24 KB) von einem russischen Web-Server geladen wird. Beim Öffnen dieser Datei legt Troj/Pushu-A mehrere SYS-Dateien im System32-Verzeichnis von Windows an. Zunächst wird "runtime.sys" angelegt und als neuer Dienst mit dem Namen "Runtime" registriert. Ferner legt Troj/Pushu-A im Unterverzeichnis "drivers" entweder eine Datei mit dem Namen "ip6fw.sys" oder "netdtect.sys" an, die ebenfalls als neuer Dienst ("Restore") registriert wird. Das ganze dient als Rootkit zur Tarnung der Malware.

Dann injiziert der Schädling Code in den Prozess des Internet Explorers und veranlasst so den Download eines weiterer Malware. Diese landet als "?_exception.nls" (?= eine Zahl) im System32-Verzeichnis oder mit Namen wie "ldrnt.bin" oder als EXE-Datei mit einer Zufallszahl im Namen im TEMP-Verzeichnis. Der Schädling ermöglicht den Zugriff auf den infizierten Rechner über das Internet und spioniert Informationen aus.

Erkennung durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

TR/Rootkit.AU

Avast!

---

AVG

Dropper.Generic.KLL (Trojan horse)

Bitdefender

Trojan.Rootkit.AU

ClamAV

---

Command AV

---

Dr Web

Trojan.MulDrop.5845

eSafe

---

eTrust

---

Ewido

Dropper.Small.avu

F-Prot

---

F-Secure

Trojan-Dropper.Win32.Small.avu

Fortinet

Pushu.A!tr

Ikarus

Trojan-Dropper.Win32.Small.avu

Kaspersky

Trojan-Dropper.Win32.Small.avu

McAfee

--- (Spy-Agent.bv.dldr)*

Microsoft

---

Nod32

Win32/Wigon.S

Norman

---

Panda

---

QuickHeal

TrojanDropper.Small.avu

Rising AV

Trojan.Mnless.hnl

Sophos

Troj/Pushu-A

Symantec

Trojan.Pandex

Trend Micro

TROJ_DLOADER.NWZ

UNA

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Rootkit.AU

GData AVK 2007 **

Trojan-Dropper.Win32.Small.avu


Quelle: AV-Test , Stand: 28.03.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
23918