12. August 2009

Der russische Sicherheitsspezialist Doctor Web teilt über den massenhaften Versand von Spam-Mails mit Trojan.Botnetlog.11 mit. Dieser Trojaner infiziert PCs mit Malware und gliedert sie im Endeffekt in ein Botnetz ein.

Trojan.Botnetlog.11 (als Dateianhang) wird seit dem 6. August 2009 versendet. Im Moment befindet sich die Aktivität des Schädlings auf dem Höhepunkt.

Der Anwender erhält vom bekannten Mail-Service eine Mail. In der Mail heißt es, das abgesendete Paket kann wegen einer falschen Adresse nicht zugestellt werden. Danach wird man aufgefordert, die angehängte Rechnung auszudrucken und diese an die angegebene Poststelle zu senden.

Der Mail ist ein ZIP-Archiv mit dem Namen UPSNR_********.zip angehängt, das eine ausführbare Datei mit dem gleichen Namen enthält. Diese Datei ist zwar Trojan.Botnetlog.11. Die Erkennung des Trojaners wird dadurch komplizierter, dass diese ausführbare Datei bei jedem neuen Versand sich ändert.

Nach dem Starten schreibt sich der Trojaner in den Autostart. Danach nistet sich Trojan.Botnetlog.11 in Systemprozessen ein und stellt die Verbindung via HTTP mit der früher angefertigten Malware-Website her, um andere Malware herunterzuladen und anschließend zu starten. So wird der PC in ein neues Botnetz eingegliedert.

Da Trojan.Botnetlog.11 sich ständig ändert, empfiehlt es sich, die Dr.Web Virendatenbanken und Programm-Komponenten auf dem aktuellen Stand zu halten.