Von den Tausenden neuer Schadprogrammen, die in der vergangenen Woche im Internet aufgetaucht sind, möchten wir heute vier Exemplare vorstellen: Die beiden Trojaner Fribet.A und Matrob.A sowie die Würmer MSNworm.EL und Janpra.A.
Fribet.A: Der Trojaner Fribet.A versteckt sich in der Datei „RaceForTibet.exe“ und verbreitet sich über Webseiten von Pro-Tibet Aktivisten. Die Absicht des Programmierers ist jedoch nicht nur politisch motiviert – was die Aussage im Namen der Datei vermuten lassen könnte -, viel größeres Interesse zeigt der Trojaner an Passwörtern und weiteren vertraulichen Daten. Mit Keylogger Features ausgestattet fängt er die Tastaturanschläge des Anwenders ein, um sensible Daten sowie Informationen über den infizierten PC an seinen Programmierer zu versenden. Seine Rootkit-Funktionalitäten erschweren zudem die Identifizierung des Trojaners.
Matrob.A: Die Präsenz von Matrob.A ist daran zu erkennen, dass der Trojaner ein Bild mit einer schematischen Darstellung eines Paares anzeigt. Im Hintergrund führt er zudem mehrere Funktionen aus, die verschiedene Anwendungen beeinträchtigen, wie beispielsweise das Deaktivieren des Task Managers, das Entfernen der Abschalt-Funktion im Start-Menü oder das Verstecken der Windows Uhr.
MSNworm.EI: Wie der Name es schon vermuten lässt, wird der MSNworm.EI über den MSN Messenger in Umlauf gebracht. Dazu versendet er an die Kontakte eines Users mit bereits infiziertem System Nachrichten mit einer angehangenen Datei. Sobald diese von einem kontaktierten Anwender geöffnet wird, erscheint auf dem Bildschirm ein Foto, das ein Schweinchen mit Kussmund, Perlenkette und rosa Herzchen-Sonnebrille abbildet. In der Zwischenzeit kopiert der Wurm die Datei „rep38_d.exe“, die von den PandaLabs als IRCBot.BWB Backdoor identifiziert wurde und Ports auf verseuchten Computern öffnet, um einen Remote Zugriff zu ermöglichen.
Janpra.A: Gleich mehrere Male kopiert Janpra.A, der letzte Schädling des heutigen Panda Security Wochenberichts, seinen schädlichen Code auf betroffene Rechner. Daneben erstellt er diverse neue Einträge in der Windows Registry, um z.B. bei jedem Neustart aktiviert zu werden. Zu seiner Verbreitung nutzt der Wurm gemappte Laufwerke im Computer.