Würmer in USB-Sticks und MP3-Playern

Würmer in USB-Sticks und MP3-Playern - Der Panda Software Malware Wochenrückblick

Duisburg, 26.02.2007 - Die Auswertungen der Infizierungen der vergangenen Woche haben einmal wieder gezeigt, dass proaktive Erkennungstechnologien ein notwendiger Bestandteil von Sicherheitslösungen sind: Bei allen drei Schädlingen, die aufgrund ihrer Verbreitung in der vergangenen Woche aufgefallen sind, handelt es sich um nicht identifizierte, neue Exemplare, die zu keiner bekannten Malware-Familie gehören. Diese sind der Trojaner Burglar.A sowie die beiden Würmer USBToy.A und Naiba.A.

Der Burglar.A Trojaner kann für betroffene User auf vielfältige Weise schädlich sein. Er erschleicht sich die Aufmerksamkeit des Anwenders, indem er angibt, eine Eilmeldung über den Gesundheitszustand des Premierministers von Australien zu überbringen. Einige bekannte Betreffzeilen lauten: „Prime Minister survived a heard attack“ oder „The life of the Prime Minister is in grave danger“. Der Trojaner nutzt zwei verschiedene Verbreitungswege. Er versteckt sich entweder im Anhang einer ausführbaren Datei in einer E-Mail Nachricht oder auf einer Webseite, die über einen Link in einer Junk Mail angeklickt wird. Wird die angehangene Datei geöffnet oder der Link angeklickt, installiert sich Burglar.A selbständig auf den entsprechenden Computer. Der Programmierer der Malware erhält daraufhin vom Trojaner Informationen zum infizierten Rechner (IP, Standort, etc) über Google Maps. Sobald er die entsprechende Karte öffnet, bekommt er alle nötigen Details, um den Rechner zu lokalisieren.
Zudem lädt Burglar.A folgende Trojaner herunter:
- Keylog.LN: Auf der Suche nach User-Logins protokolliert er Tastaturanschläge mit.
- Banker.CLJ: Verhindert das Laden von Webseiten zu Online Bankdiensten und ersetzt diese durch eine von ihm generierte Seite, auf der Anwender zur Eingabe von vertraulichen Daten aufgefordert werden.
- FileStealer.A: Installiert einen Webserver auf dem infizierten Rechner. Indem der Programmierer über eine Webseite Zugriff auf diesen Webserver erhält, kann er den Computer ferngesteuert kontrollieren.
- Step.P: Hindert den User daran, Webseiten von Sicherheitsunternehmen zu öffnen.

Die beiden aktivsten Würmer der vergangenen Woche waren USBToy.A und Naiba.A. Beide Eindringlinge verbreiten sich über USB-Sticks, MP3-Player und weitere USB-Geräte.

Wenn zwischen dem verseuchten USB-Stick und einem Computer eine Verbindung aufgebaut wird, kopiert USBToy.A sich in eine versteckte Datei und infiziert den Computer. Bei jedem Neustart öffnet sich auf dem Windows Desktop ein Fenster, in dem chinesische Schriftzeichen angezeigt werden.

Der Naiba.W Wurm kopiert hingegen nicht nur seinen eigenen Code, sondern ebenso die Datei „autorun.exe“ auf den infizierten Computer, und zwar auf allen Laufwerken. Er deaktiviert Prozesse von Sicherheits-Tools und verändert die Windows Registry Einträge. Eine dieser Veränderungen betrifft den Cryptsvc Service, der den User darüber informieren soll, dass Modifikationen stattgefunden haben. Der Naiba-Wurm hindert den User beispielsweise daran, den Notepad zu öffnen und die Option versteckte Dateien anzuzeigen.
Ansprechpartner:

Frau Margarita Mitroussi
E-Mail: mmi@panda-software.de
Telefon: 02065 / 961 - 320
Fax: 02065 / 961 - 195
Zuständigkeitsbereich: Presse und PR

Über bydata AG, Panda Software Deutschland:
Das Unternehmen wurde 1990 in Bilbao, Spanien, gegründet. Heute verfügt Panda Software weltweit über Niederlassungen und vertreibt seine Produkte über ein Partner-Netzwerk in über 50 Ländern.

Panda Software legt großen Wert auf einen kostenfreien 24-Stunden Service, auch an Sonn- und Feiertagen.

Über PandaLabs, das Panda Software Forschungslabor

Seit 1990 ist es Aufgabe des Panda Virenlabors neue Bedrohungen so schnell wie möglich zu analysieren, um alle Kunden zuverlässig schützen zu können.

Mehrere verschiedene Teams, jedes auf eine bestimmte Malware Art (Viren, Würmer, Trojaner, Spyware, Phishing, Spam, usw.) spezialisiert, arbeiten 24 Stunden 7 Tage die Woche, um einen weltweiten Schutz zu gewährleisten.

Um dies zu erreichen, werden die Teams durch die TruPrevent™ Technologie unterstützt. Diese arbeitet wie eine Art weltweites Früh-Warnsystem, bestehend aus strategisch verteilten Sensoren, um neue Bedrohungen zu neutralisieren und sie an PandaLabs zur Detailanalyse zu senden.

(Weitere Informationen unter www.pandasoftware.com/…).