Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Neue Trojaner bedrohen Facebook-Benutzer

Hanau, 2. Februar 2012

Der Sicherheitsspezialist Doctor Web warnt vor der neuen Familie von Trojan.OneX-Schädlingen, die bei der Infizierung eines Computers Spam-Mails an Facebook-Nutzer verschicken. Zur Zeit stehen zwei Modifikationen dieses Trojaners fest, die sich in ihren Funktionen unwesentlich unterscheiden. Die Anzahl der Opfer kann bei einer solchen Verbreitungsmethode außerordentlich hoch sein.

Trojan.OneX funktioniert nur unter einer 32-Bit-Version von Windows. Unter einer 64-Bit-Version bricht er nach dem Herunterladen einer Text-Datei vom Verwaltungsserver ab. Nach dem Starten auf einem infizierten PC überprüft Trojan.OneX.1 das Betriebssystem auf seine Kopien und entschlüsselt danach eine Adresse des Remote-Servers, von dem eine spezielle Text-Datei heruntergeladen wird. Diese Datei enthält einige Zeilen in der englischen Sprache, wie z.B. hahaha! http://goo.gl[…].jpeg, die danach statt Nachrichten, die von Facebook-Benutzern im Netzwerk hinterlassen werden, auftauchen. Die Nachrichten werden durch Zeilen aus dieser Datei ausgetauscht. Stündlich lädt der Trojaner eine neue Konfigurationsdatei vom Remote-Server herunter.

Trojan.OneX.1 sucht im Betriebssystem nach gestarteten Prozessen mit den Namen firefox, iexplore und IEXPLORE, schleust sich ein und blockiert Funktionen, die für die Absendung von Nachrichten verantwortlich sind.

Nachdem die erste Variante des Trojaners in die Hände der Virenanalysten von Doctor Web gelangt ist, ist ein weiterer Schädling aufgetaucht, der Trojan.OneX.2 heißt. Im Vergleich zur ersten Variante, nutzt die zweite Version von Trojan.OneX beliebte Messaging-Programme durch Prozesse pidgin, skype, msnmsgr, aim, icq.exe, yahoom, ymsg_tray.exe, googletalk und xfire.exe aus. Beim Verschicken von Nachrichten werden Maus und Tastatur des infizierten Computers blockiert. Im Vergleich zu Trojan.OneX.1 kann Trojan.OneX.2 auf Konfigurationsdateien in einer Unicode-Kodierung zugreifen.

screen

Unter den durch Trojaner verschickten Nachrichten sind auch Links zu gefälschten Websites wie RapidShare zu finden. Dem Benutzer wird u.a. angeboten, ein ZIP-Archiv mit einer JPEG-Datei herunterzuladen, wo sich in der Tat die ausführbare Datei Photo14.JPG.scr (Trojan.Packed.22289) befindet, wo BackDoor.IRC.Bot.1446 eingeschachtelt ist. Dieser Trojaner eröffnet den Übeltätern nicht nur die Hintertür zum infizierten PC, sondern auch kann vertrauliche Daten klauen und an den infizierten PC verschiedene Befehle für das Starten und die Installation anderer Anwendungen versenden. Bemerkenswert ist es, dass die Verbreitung von Trojanern auch durch BackDoor.IRC.Bot erfolgt, den gefährlichsten Schädling der Trojan.OneX-Familie, die ihrerseits die Verbreitung von BackDoor.IRC.Bot fördert.

Die entsprechenden Signaturen sind in die Dr.Web Virendatenbank bereits eingetragen worden. Die Anwender von Dr.Web Antivirensoftware sind sicher geschützt und brauchen sich keine Sorgen um ihre Sicherheit zu machen.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden