Viele Trojaner, ein Wurm und mehrere Windows-Schwachstellen

Panda Software Wochenbericht über Malware Aktivitäten
(PresseBox) (Duisburg, ) Im heutigen Wochenbericht ist eine ganze Reihe verschiedener Malwareaktivitäten vertreten: Der Wurm „Bagle.FU“, vier Trojaner, „Mitglieder.GK“, „WmaDownloader.B“, „Banbra.BOK“ und Bancos.LU“ sowie die Application „Elite“. Des Weiteren wurden vier Schwachstellen im Internet Explorer und eine in Windows 2000 in den vergangenen Tagen zur Verbreitung von Malware genutzt.

Bangle.FU ist ein Wurm, der mehrere Prozesse auf dem Computer abbricht und Einträge in der Windows Registry entfernt. Innerhalb einer ZIP Datei entsendet er eine Kopie von Mitglieder.GK.

Mitglieder.GK bedient sich, nach erfolgreicher Infizierung des Systems, verschiedener Webseiten, um Dateien mit weiterer Malware herunter zu laden.

Die vier Internet Explorer Sicherheitsprobleme betreffen die Microsoft Internet Explorer Versionen 5.01, 5.5 und 6 mit den Betriebssystemen Windows 2003, XP, 2000, Me und 98. Durch einen Code, der angegriffene Systeme ausbeutet, kann der Rechner ferngesteuert bedient werden. Die vier Lücken im Internet Explorer werden als „kritisch“ eingestuft.

Als „wichtig“ klassifiziert wird die Schwachstelle, die Windows 2000 befällt. Der Angreifer ist in der Lage die komplette Kontrolle eines betroffenen Systems zu übernehmen.

Um diese Sicherheitsdefizite zu beheben, hat Microsoft zwei Bulletins zum Download bereitgestellt. Usern wird empfohlen, das Sicherheits-Update für den Internet Explorer (MS05-054) und Windows zu aktualisieren.

Der Trojaner WmaDownloader.B erreicht den Computer innerhalb lizenzgeschützter Multimedia Dateien, die von Webseiten oder P2P File-Sharing Programmen runter geladen werden können. Dabei nutzt der Trojaner das Windows Media Digital Rights Management (DRM), eine Technologie, die nach einer Lizenz-Nummer fragt, sobald eine Windows Media Datei abgespielt werden soll. Wenn ein User eine Multimedia Datei mit integriertem Trojaner öffnet, erscheint ein Fenster mit dem Hinweis auf den kostenlosen Erwerb einer Lizenz, der aber nur möglich ist, wenn die IST Toolbar auf dem Rechner installiert ist. Willigt der Anwender der Installation zu, führt der Trojaner folgende Funktionen aus:

- Er zeigt eine Sicherheitswarnung an. Diese enthält die Information, dass ActiveX Control auf dem Computer eingerichtet wird. Nachdem der User diese bestätigt, erhält er eine Dankes-Nachricht.
- Er verbindet sich mit einer URL (Domain: drm.ysbweb.com). Wird auf dem Computer die Version 9 oder eine spätere Version von Windows Media Player genutzt, lädt Wma.Downloader.B die IST Toolbar runter und installiert sie auf dem Rechner.

Die IST Toolbar wird als Eingangspunkt für weitere Internet-Angriffe genutzt.

Der dritte Trojaner, mit dem sich der Wochenbericht befasst, ist Banbra.BOK. Er verbreitet sich durch Nachrichten, die zum Öffnen einer Webseite mit verschiedenen Bildern einladen. Klickt der User die Webseite an, befällt der Trojaner seinen Computer. Banbra.BOK installiert sich auf infizierten Computern und öffnet den Port 1036. Sobald der User auf Webseiten von Geldinstituten zugreift, entwendet er die Passwörter und verschickt sie an bestimmte E-Mail Adressen.

Ein weiterer Trojaner war in der vergangenen Woche besonders aktiv: Bancos.LU. Er speichert in temporären Dateien Informationen, wie User Name, Passwörter von Mail Accounts, Adressbuch Einträge und Bank Details ab, indem er die Aktivitäten im Internet überwacht, protokolliert und weiterleitet.

Der heutige Report endet mit Elite, einer Application, die Informationen über durchgeführte Aktionen, wie z.B. Tastaturanaschläge, Images oder benutzte Programme, speichert.

Weitere Informationen finden Sie in der Panda Software Enzyklopädie, unter http://www.pandasoftware.com/....

Kontakt

Panda Security Germany
Dr. Alfred-Herrhausen-Allee 26
D-47228 Duisburg
Margarita Mitroussi
Presse
Presse und PR
Social Media