In dieser Woche haben Mytob.DN, Gorgs.A und PGPCoder.A vermehrt für Aufmerksamkeit gesorgt.
Dieser Wurm mit Backdoor Charakteristiken verbindet sich mit einem Server und wartet auf Anweisungen eines Remote Users. Zusätzlich lädt er weitere Malware, Faribot.A auf den infizierten Rechner herunter. Er verändert die Hosts Datei um den Zugriff auf Webseiten von Antivirenherstellern zu vermeiden.
Der Wurm verbreitet sich via LSASS Verwundbarkeit, die er über Angriffe auf zufällige IP Adressen auszunutzen versucht. Außerdem versucht er noch sich über gesammelte eMail Adressen via englischer eMail weiter auszubreiten und nutzt durch Faribot.A den MSN Messenger aus.
Diese Malware hat einen neuen Trend „Ransom-Ware“ eingeleitet. Hierbei soll Geld durch Erpressung ergaunert werden. Der Trojaner verschlüsselt alle Dokumente mit DOC (Word), JPG (Bilder), XLS (Excel), HTML (Webseiten) Endung oder ZIP und RAR Formate. Die Erpressung setzt sich durch eine Text Datei mit Anweisungen für das Opfer in jedem Verzeichnis fort. Der User bekommt eine E-Mail-Adresse über die er dann sein Anliegen vortragen kann. Nach einer Zahlung von 200$ erhält man dann ein Decodierungsprogramm.
Der Inhalt der Textnachricht lautet im Einzelnen wie folgt:
{list|Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032}
Wichtig ist jetzt, seine Antivirenlösung auf den neusten Stand zu bringen. Panda Software hat die nötigen Updates bereits seinen Kunden zugängig gemacht.
