Die zwei eng miteinander verbundenen Trojaner greifen gemeinsam Computer von Internet-Nutzern an. Durch den MSN Messenger empfängt der User eine Nachricht, die scheinbar von einer Person aus den persönlichen Kontakten erstellt wurde. Darin wird er aufgefordert, eine bestimmte Webseite zu besuchen. Sobald er diese öffnet, wird Nabload.U zusammen mit Banker.BSX auf das System geladen und eine Serie von Aktivitäten in Gang gesetzt:
-MSN Messenger Nachrichten mit dem Link, durch den Nabload.U geladen wird, werden versendet.
-Der Port 1106 wird geöffnet.
-Der Zugang zu bestimmten Webseiten von Online Banken im spanischsprachigen Raum wird überwacht. Öffnet der User eine dieser Seiten, erbeuten die Trojaner alle eingegebenen Informationen, wie Passwörter, und senden diese an eine bestimmte E-Mail Adresse.
AKStealer.A kann sich nicht selber verbreiten, sondern wird manuell über E-Mails, Internet Downloads, FTP Datentransfer oder andere Hilfsmittel verteilt. Nachdem er auf einem Computer installiert wurde, führt er u.a. folgende Aktivitäten aus:
-Er erbeutet Namen und Passwörter der jeweiligen User für folgende Services: Internet Explorer Proxies, Outlook, Google Accounts (Gmail, Orkut), Ebay, Monster.com, Paypal, e-gold, Careerbuilder.com, GMX.net und Passport. Er speichert die gesammelten Informationen in der Windows Registry und versendet sie dann an eine Webseite innerhalb eines PHP Skripts.
-Er installiert einen Proxy Server auf den befallenen Computer und zeichnet die IP Adresse auf, so dass der Zugang auf den Proxy Server zu einem späteren Zeitpunkt ermöglicht wird.
Der heutige Wochenbericht endet mit dem Exploit Metafile. Dieses missbraucht die Sicherheitsprobleme in der Bibliothek zur Windows-Verarbeitung von Windows Meta Files (WMF) und infiziert folgende Microsoft Windows Betriebssysteme: 98, Millennium Edition (ME), 2000, XP und Server 2003.
Die Sicherheitslücke kann mit Hilfe von WMF-Dateien ausgenutzt werden. Surft man beispielsweise Webseiten mit Dateien, die diese Schwachstelle ausnutzen, an, so wird die relevante WMF Datei in der Regel automatisch gestartet. Dies passiert zumindest mit den Standard-Einstellungen des Internet Explorers. Alternative Browser fragen üblicherweise vor der Ausführung nach, ob die eingebettete Datei gestartet werden soll. Sobald die Datei jedoch geöffnet wurde, erfolgt die Infektion des Systems.
Da Microsoft den Patch zum Lösen des Problems noch nicht bereitgestellt hat, ist es ratsam das speziell für diese Sicherheitsproblematik erstellte Advisory zu lesen und das automatische Ausführen von Dateien dieser Art zu deaktivieren. Details zu dieser Sicherheitslücke und wie man sich davor schützen kann, entnehmen Sie bitte folgendem Link:
http://www.microsoft.com/...