Kombination aus Trojaner und Keylogger tarnt sich als MSN-Nachricht

Spymaster.A entwendet Informationen von infizierten Rechnern

(16.01.06) - Ein neuer Trojaner, Spymaster.A, verbreitet sich aktuell. Es handelt sich hierbei um einen Trojaner, der ebenfalls Keylogger-Funktionalitäten besitzt und somit in der Lage ist, alle Arten von Informationen zu entwenden. Da er Spyware- mit Keylogger-Eigenschaften kombiniert, kann alle Abläufe des fremden Computers bis hin zu User-Namen und Passwörtern von Online Banking Nutzern aufzuspüren. Spymaster.A tarnt sich als MSN Messanger-Nachricht, um in Systeme einzudringen und diese zu infizieren, ohne dass der Anwender dieses bemerkt.

Wie es bei Trojanern üblich ist, kann sich auch Spymaster.A nicht selber verbreiten und ist somit auf die Interaktion der Nutzer angewiesen. Analysen der PandaLabs haben ergeben, dass Spymaster.A verschiedene Verbreitungsmöglichkeiten ausnutzt: Als Anhang innerhalb von E-Mails; als Download von Web-Seiten oder P2P-Applikationen sowie Instant Messaging-Systeme oder CDs, DVDs und Disketten.

Sobald der Anwender die entsprechende Datei mit dem enthaltenen Trojaner startet, wird eine Kopie von Spymaster.A in Form einer weiteren Datei mit der Bezeichnung "syscont.exe" erstellt. Der Trojaner legt verschiedene Registry-Einträge an, um sicherzustellen, dass er bei jedem Neustart aktiviert wird. Auch bei Überprüfung der Prozesse im Task Manager erscheinen die Dienste des MSN Messenger. Tatsächlich verbergen sich hinter dieser Verheimlichungssystematik die Aktivitäten von Spymaster.A.

Zusätzlich zu "syscont.exe“ erzeugt der Eindringling eine weitere Text-Datei, "syslogy.cc". Dort werden verschiedene Daten abgespeichert, wie vom Nutzer besuchte Web-Seiten oder in die Tatstatur eingetippte Informationen. Die gesammelten Angaben werden dann via FTP an die Adresse des Malware-Erfinders verschickt. (Panda Software: ra)