14. Februar 2008
Es ist nun fast ein Jahr her, dass der Spambot BackDoor.Groan eine Vielzahl
an Systemen infizierte. Seiner Zeit wurden durch das organisierte Versenden von Spammails,
fast 90% aller e-Mails mit Anhängen durch BackDoor.Groan
infiziert. Doctor Web teilte dies in seiner Meldung vom 21.Januar 2007 mit.
Durch BackDoor.Groan verseuchte e-Mails konnten wegen seiner großen Verbreitung,
über den gesamten Jahresverlauf, immer wieder nachgewiesen werden. Dies wird
sich, allem Anschein nach, auch im Jahr 2008 nicht ändern.
Ein markantes
Unterscheidungsmerkmal zu anderen schadhaften Codes ist die Tatsache, dass die
sich im Anhang befindliche ausführbare Datei (.exe) mit ständig wechselnden
Komprimierungsprogrammen bearbeitet wird und der Spamversender (Verfasser) sich
ebenfalls des Sozialengineerings bedient, um den Empfänger dazu zu verleiten,
die ausführbare Datei zu starten. Fast jeder Feiertag, sowie fiktive Vorfälle
werden als Deckmantel benutzt, um das Interesse des Spammail Empfängers zu wecken.
Nach
der ersten Verbreitungswelle änderten die BackDoor.Groan Verfasser ihre Verbreitungstaktik
und modifizierten die Spammails, so dass keine ausführbare Datei mehr im Anhang
der Mail vorhanden war. Stattdessen befand sich ein Link zum unmittelbaren Download
der verseuchten Datei im Text. Bei Aktivierung des Links wurde automatisch
ein Script ausgeführt und der Rechner unbemerkt im Hintergrund verseucht.
Zum
diesjährigen Valentinstag 2008, konnte Doctor Web bereits eine massive Anzahl
an Spamsendungen mit den Betreff Valentine
Friends, You are My Valentine, Powerful Love und dem Link zum Herunterladen der
Valentine-Grusskarte - valentine.exe (welche als Trojan.Packed.357 durch Dr.Web
erkannt wird) abfangen.
Nach Ausführen der valentine.exe platziert das
Programm im Windows Systemverzeichnis einen Treiber mit zufälliger Namensgebung,
lädt diese Datei als Systemtreiber und registriert sie in der Windows Registry.
Die Datei wird durch Dr.Web als Trojan.Spambot.2569 erkannt. Ergänzend hierzu
installiert der Spambot eine Konfigurationsdatei für die Arbeit mit P2P-Netzwerken
in das befallene System. Nachfolgend implementiert es seinen Schadcode in die
Datei %systemroot%\system32\services.exe, öffnet zufällige UDP-Schnittstellen und fängt an, Anfragen zu versenden. Nach Empfang
einer positiven Antwort beginnt das Programm, Spammails zu versenden.
Anwender
von Doctor Web Lösungen sind durch den Mailfilter SpIDerMail
(integrierter Antispamfilter) geschützt. Das Modul zur Linküberprüfung für den
Mailclient Mozilla
Thunderbird ermöglicht es, Links in e-Mails vor dem Öffnen auf schädliche Skripte zu überprüfen.
Details zum kostenlosen Modul zur
Linküberprüfung für die Internetbrowser und in e-Mail Clients, finden sich auf
http://www.freedrweb.com.
Wenn Sie vermuten, dass Ihr Computer mit Trojan.Packed.357
infiziert ist, laden sie die kostenlose Wiederherstellungsroutine Dr.Web
CureIt! herunter und überprüfen Sie alle logischen
Festplatten auf Virenbefall. Für infizierte Objekte führen Sie die
Aktion "Wiederherstellen" aus. Die erfolgreiche Wiederherstellung wird durch
den Antirootkit-Treiber Dr.Web ShieldTM durchgeführt.
Über das Unternehmen Doctor Web®
Dr.Web (Antivirus) Deutschland GmbH
ist die deutsche Niederlassung des Herstellers von Softwarelösungen zur
Sicherheit in der Informationstechnologie aus Russland, Doctor Web, Ltd. Unsere
Produktpalette umfasst effiziente Antivirus- und Antispamlösungen sowohl für
große Firmen und staatliche Behörden, als auch für Privatanwender. Unsere
Lösungen werden seit 1992 fortwährend weiter entwickelt, erreichen stets
ausgezeichnete Erkennungsraten und entsprechen den Welt-Sicherheitsstandards.
Zertifikate und Auszeichnungen bestätigen unsere Arbeit. Mit unseren Partnern
und Kunden beschreiten wir die gemeinsame Zukunft.
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare