Würmer Mytob.DN, Gorgs.A und PGPCoder.A

In dieser Woche haben Mytob.DN, Gorgs.A und PGPCoder.A vermehrt für Aufmerksamkeit gesorgt.

Mytob.DN

Dieser Wurm mit Backdoor Charakteristiken verbindet sich mit einem Server und wartet auf Anweisungen eines Remote Users. Zusätzlich lädt er weitere Malware, Faribot.A auf den infizierten Rechner herunter. Er verändert die Hosts Datei um den Zugriff auf Webseiten von Antivirenherstellern zu vermeiden.

Der Wurm verbreitet sich via LSASS Verwundbarkeit, die er über Angriffe auf zufällige IP Adressen auszunutzen versucht. Außerdem versucht er noch sich über gesammelte eMail Adressen via englischer eMail weiter auszubreiten und nutzt durch Faribot.A den MSN Messenger aus.

Windows 9x Computern nutzt er eine Funktion aus, bei der man seine laufenden Prozesse nicht in der Taskliste sieht. Bei 2000 und XP Systemen versteckt er seine Aktivitäten hinter dem Systemprozess Explorer.exe. Einmal aktiviert speichert der Trojaner alle Tastaturanschläge in einer Datei und sendet diese ab einer bestimmten Größe an eine russische Domain. Gorgs.A kann sich, wie bei Trojanern üblich nicht selbst weiter verbreiten und braucht die Interaktion eines Users.

Word), JPG (Bilder), XLS (Excel), HTML (Webseiten) Endung oder ZIP und RAR Formate. Die Erpressung setzt sich durch eine Text Datei mit Anweisungen für das Opfer in jedem Verzeichnis fort. Der User bekommt eine E-Mail-Adresse über die er dann sein Anliegen vortragen kann. Nach einer Zahlung von 200$ erhält man dann ein Decodierungsprogramm.

Der Inhalt der Textnachricht lautet im Einzelnen wie folgt:

{list|Some files are coded.

To buy decoder mail: n781567@yahoo.com

with subject: PGPcoder 000000000032}

Wichtig ist jetzt, seine Antivirenlösung auf den neusten Stand zu bringen. Panda Software hat die nötigen Updates bereits seinen Kunden zugängig gemacht.

SCHIEB+ Immer bestens informiert

Schieb+ Tarife
Nach oben scrollen