Trojaner mit Keylogger-Funktionalitäten für 57% aller Neuinfizierungen verantwortlich!

16 Stunden nach seinem ersten Erscheinen ist der Trojaner Cimuz.EL für mehr als die Hälfte aller aktuellen Computer-Infizierungen verantwortlich
Cimuz.EL (PresseBox) (Duisburg, ) Die Virenlabore von Panda Software melden eine hohe Verbreitungsgeschwindigkeit des Trojaners Cimuz.EL. 57 Prozent aller aktuellen Malware-Infizierungen gehen zurzeit auf das Konto des Trojaners. Die Installation des schädlichen Codes erfolgt über zwei Schritte. Der erste Teil des Codes fungiert als Downloader. Ist er ins System eingedrungen, lädt er die weiteren Komponenten des Cimuz-Trojaners herunter, die dem eigentlichen Ausführen der Schadroutinen dienen.
Sobald die Installation komplett abgeschlossen ist, protokolliert Cimuz.EL alle Internet-Aktivitäten des Users mit, um sensible Informationen (Usernamen, Passwörter, etc.) sowie Computer-Daten (IP, Hardware- und Software-Daten, Standort, etc.) zu speichern und an den Malware-Programmierer weiter zu versenden. Er ist so entwickelt, dass er sowohl die auf dem Rechner gespeicherten Daten aufspürt als auch die vom Nutzer im Internet eingetippten Angaben aufnimmt.

Um den Internet Traffic überwachen zu können, bindet der Trojaner eine DLL (Dynamische Bibliothek) in den Internet Explorer ein. Alle Informationen (Kreditkartennummern, Zugangsdaten, etc.), die der betroffene Anwender nun in Online Formulare eingibt, kann Cimuz.EL dann sammeln und über einem Server versenden. Zudem setzt er Prozessen von Sicherheits-Tools, wie Antivirenprogrammen oder Firewalls, ein Ende und gestaltet so seine Entdeckung noch schwieriger.

Cimuz.EL legt folgende Dateien in der Windows System Directory an:
- ISCA.EXE, welche die Datei HHT24.EXE herunter lädt.
- HHT24.EXE, welche die DLL IPV6MONL.DLL installiert.
- IPV6MONL.DLL, welche den Internet Traffic überwacht.
- QAS.TX im Unterordner DRIVERS.

Anhand von verschiedenen Einträgen in der Windows Registry stellt der Trojaner Cimuz.EL sicher, dass
- er bei jedem Systemstart aktiviert wird
- er als ein BHO (Browser Helper Object), also ein ausführbares Programm, das die Funktionen des Internet Explorers erweitert, registriert ist
- die Erweiterungen im Internet Explorer aktiviert sind, so dass die DLL, die den Traffic kontrolliert, geladen werden kann
- er auf der Liste der für die Firewall autorisierten Programme steht

Der 98,008 Bytes große Trojaner ist in der Programmiersprache Visual C++ v6 geschrieben und verbreitet sich über Internet Downloads, CD’s, infizierte Memory Sticks, E-Mail Anhänge und Sicherheitslücken.

Kontakt

Panda Security Germany
Dr. Alfred-Herrhausen-Allee 26
D-47228 Duisburg
Margarita Mitroussi
Presse
Presse und PR

Bilder

Social Media