Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 29610

Panda Security Germany Dr. Alfred-Herrhausen-Allee 26 47228 Duisburg, Deutschland http://www.pandasecurity.com
Ansprechpartner:in Markus Mertes +49 2065 9610
Logo der Firma Panda Security Germany
Panda Security Germany

Panda Software Wochenrückblick KW 3/2004

Rückblick über die Malware Aktivitäten der vergangenen Woche

(PresseBox) (Duisburg, )
Der heutige Wochenrückblick über die Malware-Aktivitäten der Woche vom 17.01. – 21.01.2005 beschäftigt sich neben den Würmern Bropia.A, Zar.A, sowie MyDoom.AE mit Gaobot.batch.

Bropia.A

Vollständiger Name: W32/Bropia.A.worm
Alias: W32.Bropia, W32/Bropia.worm, Win32.Bropia.A
Zum ersten Mal entdeckt: 20.01.2005
Infizierte Plattformen: Windows 2003/XP/2000/NT/Me/98/95
Bedrohungspotential: Gering
Im Umlauf? Nein
Programmiersprache: Visual Basic v6.0
Dateigröße: 159,744 bytes

Bropia.A verbreitet sich mit Hilfe des MSN Messenger und infiziert Systeme indem er den Wurm W32/Gaobot.CPC.worm installiert.

Des weiteren verhindert der Wurm die Ausführung des Task-Managers sowie des Command Prompts indem es die relevanten Dateien (Taskmgr.exe, CMD.exe) überschreibt, setzt die Tastenkombination „Ctrl+Alt+Entf“ und die Funktionen der rechten Maus-Taste außer Kraft.

Bropia.A kopiert sich selber auf das C-Laufwerk des infizierten Systems und benennt diese Kopien wie folgt: DRUNK_LOL.PIF, LOVE_ME.PIF, NAKED_PARTY.PIF, SEXY_BEDROOM.PIF und WEBCAM_004.PIF

Der Wurm prüft ob der MS Messenger aktiv ist. Ist dies der Fall so kopiert er sich erneut und versendet sich mit Hilfe dieser Datei selbstständig an die gefundenen Kontakte.

Sichtbare Hinweise (Bildschirmmeldungen o.ä.) gibt es bei einer Infizierung durch Bropia.A ebenso wenig wie Registry Einträge. Sollte der Taskmanager und der Befehl CMD.exe nicht mehr ausführbar sein und die rechte Mouse-Taste nicht mehr funktionieren, so kann man von einer Infizierung ausgehen.

Weitere technische Details zu Bropia finden Sie hier: http://www.pandasoftware.com/...
________________________________________

Zar.A

Vollständiger Name: W32/Zar.A.worm
Alias: WORM_Zar.A, W32/VBSun-A, W32/Zar.A@mm
Zum ersten Mal entdeckt: 18.01.2005
Infizierte Plattformen: Windows 2003/XP/2000/NT/Me/98/95
Bedrohungspotential: Gering
Im Umlauf? Ja
Programmiersprache: Visual Basic v6.0
Dateigröße: 20,4850 bytes

Zar.A versucht eine DoS (Denial of Service) Attacke gegen die Webseite www.hacksector.de zu starten und benutzt dazu den „ping“ Befehl.

Zar.A verbreitet sich via E-Mail und versucht mit Hilfe der Tsunami Katastrophe, welche den asiatischen Raum im Dezember 2004 heimsuchte, Aufmerksamkeit zu erlangen.
Folgende Betreffzeile wird dabei von dem Wurm genutzt: „Tsunami Donation! Please help!“
Die Nachricht sieht folgendermaßen aus: „Please help us with your Donation and view the attachement below! We need you!“
Die angehangene Datei heißt: „Tsunami.exe“

Der Wurm kreiert folgende Dateien und schreibt sich in die Windows Registry um sicher zu stellen, dass er bei jedem Systemstart geladen wird: CRSSR.EXE, RAZ32.EXE, TSUNAMI.EXE

Weitere technische Details zu Zar.A finden Sie hier: http://www.pandasoftware.com/...
________________________________________
MyDoom.AE
Vollständiger Name: W32/MyDoom.AE.worm
Alias: W32/MyDoom.ap@MM, W32/MyDoom-AA, I-Worm.MyDoom.AE
Zum ersten Mal entdeckt: 15.01.2005
Infizierte Plattformen: Windows 2003/XP/2000/NT/Me/98/95
Bedrohungspotential: Gering
Im Umlauf? Nein
Programmiersprache: Visual Basic v6.0
Dateigröße: 31,744 bytes gepackt mit UPX oder 96,140 bytes entpackt

MyDoom.AE verändert die Windows Host Datei und verhindert so den Zugriff auf Webseiten diverser Antiviren-Hersteller. Somit stellt er sicher, dass keine Aktualisierung erfolgen kann. Des weiteren schaltet er die Prozesse diverser Antivirenlösungen ab und hinterlässt ein verwundbares System. Die Verbreitung erfolgt mittels peer-to-peer Netzwerke und via E-Mail.

Der Wurm lädt weitere Malware aus dem Internet herunter und installiert diese. Anschliessend öffnet er „notepad“ und zeigt einen zufälligen Text auf dem Bildschirm an.

MyDoom.AE erzeugt folgende Kopie von sich selbst auf dem infizierten System: LSASRV.EXE und erstellt die Datei HSERV.SYS im Windows System Verzeichnis. Diese Datei beinhaltet keinen ausführbaren Code. Die Datei Version,ini gibt Aufschluß über die aktuelle Version des Wurmes und MES#WTELW im temporären Verzeichnis enthält zufälligen Text.

Weitere technische Details zu MyDoom.AE finden Sie hier: http://www.pandasoftware.com/...
________________________________________
Gaobot.batch

Vollständiger Name: W32/Gaobot.batch
Alias: k.A.
Zum ersten Mal entdeckt: 19.01.2005
Infizierte Plattformen: Windows XP/2000/NT/Me/98/95
Bedrohungspotential: Hoch
Im Umlauf? Ja
Programmiersprache: Visual Basic v6.0
Dateigröße: 105 bytes

Die Varianten des Gaobot Wurmes nutzen nahezu alle Komunikationskanäle um sich zu verbreiten. Einige Varianten besitzen ebenfalls die Fähigkeit Dateien aus dem Internet herunter zu laden und so Systeme zu schädigen und den infizierten PC „fernzusteuern“. Die Gaobot Batch Datei löscht die Ursprungsvariante des Wurmes, sofern diese auf dem Computer vorhanden ist und installiert eine neuere Variante des Schädlings.

Weitere technische Details zu Gaobot.batch finden Sie hier: http://www.pandasoftware.com/...

Detaillierte Informationen zu den hier nicht erwähnten Viren, Würmern und Trojanern, sowie Echtzeit-Vireninformationen finden Sie hier: http://www.pandasoftware.com/...

Panda Security Germany

Über Panda Security
Seit seiner Gründung 1990 in Bilbao kämpft Panda Security gegen alle Arten von Internet-Angriffen. Als Pionier der Branche reagierte das IT-Sicherheitsunternehmen mit verhaltensbasierten Erkennungsmethoden und der Cloud-Technologie auf die neuen Anforderungen des Marktes. Dank der speziellen Cloud-Technologien greifen User via Internet auf die weltweit größte Signaturdatenbank zu und erhalten schnellen und zuverlässigen Virenschutz ohne lokales Update. Der dramatische Zuwachs neuer Schädlinge verlangt immer intelligentere Abwehrmechanismen. So wächst der IT-Spezialist stetig: Mehr als 56 internationale Niederlassungen, ein Kundenstamm aus über 200 Ländern und landesweiter Support in der jeweiligen Sprache belegen die globale Präsenz.
Weitere Informationen auf den offiziellen Webseiten www.pandanews.de und www.pandasecurity.com

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.