Es ist nun fast ein Jahr her, dass der Spambot BackDoor.Groan eine Vielzahl an Systemen infizierte. Seiner Zeit wurden durch das organisierte Versenden von Spammails, fast 90% aller e-Mails mit Anhängen durch BackDoor.Groan infiziert. Doctor Web teilte dies in seiner Meldung vom 21.Januar 2007 mit. Durch BackDoor.Groan verseuchte e-Mails konnten wegen seiner großen Verbreitung, über den gesamten Jahresverlauf, immer wieder nachgewiesen werden. Dies wird sich, allem Anschein nach, auch im Jahr 2008 nicht ändern.

Ein markantes Unterscheidungsmerkmal zu anderen schadhaften Codes ist die Tatsache, dass die sich im Anhang befindliche ausführbare Datei (.exe) mit ständig wechselnden Komprimierungsprogrammen bearbeitet wird und der Spamversender (Verfasser) sich ebenfalls des Sozialengineerings bedient, um den Empfänger dazu zu verleiten, die ausführbare Datei zu starten. Fast jeder Feiertag, sowie fiktive Vorfälle werden als Deckmantel benutzt, um das Interesse des Spammail Empfängers zu wecken.

Nach der ersten Verbreitungswelle änderten die BackDoor.Groan Verfasser ihre Verbreitungstaktik und modifizierten die Spammails, so dass keine ausführbare Datei mehr im Anhang der Mail vorhanden war. Stattdessen befand sich ein Link zum unmittelbaren Download der verseuchten Datei im Text. Bei Aktivierung des Links wurde automatisch ein Script ausgeführt und der Rechner unbemerkt im Hintergrund verseucht.

Zum diesjährigen Valentinstag 2008, konnte Doctor Web bereits eine massive Anzahl an Spamsendungen mit den Betreff Valentine Friends, You are My Valentine, Powerful Love und dem Link zum Herunterladen der Valentine-Grusskarte - valentine.exe (welche als Trojan.Packed.357 durch Dr.Web erkannt wird) abfangen.

Nach Ausführen der valentine.exe platziert das Programm im Windows Systemverzeichnis einen Treiber mit zufälliger Namensgebung, lädt diese Datei als Systemtreiber und registriert sie in der Windows Registry. Die Datei wird durch Dr.Web als Trojan.Spambot.2569 erkannt. Ergänzend hierzu installiert der Spambot eine Konfigurationsdatei für die Arbeit mit P2P-Netzwerken in das befallene System. Nachfolgend implementiert es seinen Schadcode in die Datei %systemroot%\system32\services.exe, öffnet zufällige UDP-Schnittstellen und fängt an, Anfragen zu versenden. Nach Empfang einer positiven Antwort beginnt das Programm, Spammails zu versenden.

Anwender von Doctor Web Lösungen sind durch den Mailfilter SpIDerMail (integrierter Antispamfilter) geschützt. Das Modul zur Linküberprüfung für den Mailclient Mozilla Thunderbird ermöglicht es, Links in e-Mails vor dem Öffnen auf schädliche Skripte zu überprüfen. Details zum kostenlosen Modul zur Linküberprüfung für die Internetbrowser und in e-Mail Clients, finden sich auf http://www.freedrweb.com.

Wenn Sie vermuten, dass Ihr Computer mit Trojan.Packed.357 infiziert ist, laden sie die kostenlose Wiederherstellungsroutine Dr.Web CureIt! herunter und überprüfen Sie alle logischen Festplatten auf Virenbefall. Für infizierte Objekte führen Sie die Aktion "Wiederherstellen" aus. Die erfolgreiche Wiederherstellung wird durch den Antirootkit-Treiber Dr.Web Shield^TM durchgeführt.

Über das Unternehmen Doctor Web®
Dr.Web (Antivirus) Deutschland GmbH ist die deutsche Niederlassung des Herstellers von Softwarelösungen zur Sicherheit in der Informationstechnologie aus Russland, Doctor Web, Ltd. Unsere Produktpalette umfasst effiziente Antivirus- und Antispamlösungen sowohl für große Firmen und staatliche Behörden, als auch für Privatanwender. Unsere Lösungen werden seit 1992 fortwährend weiter entwickelt, erreichen stets ausgezeichnete Erkennungsraten und entsprechen den Welt-Sicherheitsstandards. Zertifikate und Auszeichnungen bestätigen unsere Arbeit. Mit unseren Partnern und Kunden beschreiten wir die gemeinsame Zukunft.