|
|
Rubrik: Virenwarnung/Aktuelle Meldungen Malware baut Peer-to-Peer-Botnet auf und schützt sich aktiv vor Entdeckung TROJ_SMALL.EDW verbindet infizierte Computer mit einem eigenen Peer-to-Peer-Netzwerk (30.01.07) - Trend Micro warnt alle Computernutzer vor TROJ_SMALL.EDW. Der Web Threat verbreitet sich aktuell per Spam-Mails und auch über andere Malware. Als einer der ersten Trojaner versucht TROJ_SMALL.EDW, infizierte Computer zu einem Peer-to-Peer-Netzwerk zu verbinden, über das neue Komponenten heruntergeladen werden. Darüber hinaus verfügt die Malware über ein Rootkit, das die Identifikation von infizierten Computern erschwert.
Anzeige
Der Web Threat beinhaltet einen Trojaner, der von Trend Micro als TROJ_SMALL.EDW erkannt wird und durch eine Vielzahl von Varianten gekennzeichnet ist. Die Verbreitung erfolgt über zwei unterschiedliche Kanäle:
·
Verschiedene Malicious Codes, darunter
insbesondere WORM_NUWAR.CQ, hinterlassen eine Datei auf infizierten Systemen,
bei der es sich um TROJ_SMALL.EDW handelt. WORM_NUWAR.CQ ist ein
Mass-Mailing-Wurm und verbreitet sich über E-Mails mit Betreffzeilen zum
Thema Liebe. "The
Miracle of Love", "My Perfect Love" und "A Bouquet of
Love" sind nur einige der vielen möglichen
Email-Titel.
·
Vielen Anwender erhalten TROJ_SMALL.EDW zudem
als Dateianhang einer Spam-E-Mail, die sich mit ihren Betreffzeilen auf
bestimmte aktuelle Ereignisse beziehen. Durch Titel wie "230 Dead as
Storm Batters Europe" sollen Empfänger dazu gebracht werden, den
Dateianhang zu öffnen und auszuführen. Andere mögliche Betreffzeilen sind: "A
Killer at 11, He's Free at 21 to Kill Again", "British Muslims
Genocide" und "U.S. Secretary of State Condoleeza Rice has Kicked
German Chancellor Angela Merkel". Bei der zweiten Verbreitungsvariante über E-Mail greift die Malware nach dem Start auf das Web zu, um einen Trojan Downloader zu finden und herunterzuladen. Gelingt dies, startet der Trojan Downloader wiederum den Download von zusätzlichen Malware-Komponenten. Infizierte PCs werden darüber hinaus mit einem Peer-to-Peer-Netzwerk für Malware verbunden, um weitere Module dieses Multi-Komponenten-Angriffs herunterzuladen. Damit werden aus befallenen Systemen sogenannte Bots, auch wenn die Malware keine der bislang üblichen Bot-Techniken verwendet. Die Bedrohung durch TROJ_SMALL.EDW hat somit nicht nur ihren Ursprung im Web, sondern wird auch über das Web kontrolliert. Außerdem verfügt WINCOM32.SYS, eine Komponente des Trojaners, über Rootkit-Fähigkeiten. Der Trojaner kann dadurch seine Dateien und Prozesse verstecken, um die Entdeckung zu erschweren. Laut Ivan Macalintal, Senior Threat Analyst bei Trend Micro, verwendet der Trojaner zwar die üblichen Verbreitungsmethoden, ist aber trotzdem in gewisser Weise einzigartig: "Als einer der ersten Trojaner versucht TROJ_SMALL.EDW, ein großangelegtes Peer-to-Peer-Botnet aufzubauen. In den meisten Fällen verwenden Botnets den IRC (Internet Relay Chat) für die sogenannten C&C (Command and Control)-Funktionen. Da IRC immer leichter zu erkennen ist, entwickeln die Malware-Programmierer nun offenbar neue Techniken." Bei der Verbreitung über E-Mail kommen erneut Social-Engineering-Techniken zum Einsatz: Die Betreffzeilen nehmen Bezug auf aktuelle Ereignisse oder auch das Thema "Liebe" - vielleicht inspiriert vom bevorstehenden Valentinstag. Durch die Nachrichtentitel sollen arglose Empfänger dazu bewegt werden, den infizierten E-Mail-Anhang auszuführen, der angeblich ein Video zum Thema enthält. Für die Malware-Datei werden Namen wie full Clip.exe, full Story.exe, full Video.exe und read More.exe verwendet. Sicherheitsmaßnahmen Zum Schutz vor TROJ_SMALL.EDW und anderen Bedrohungen rät Trend Micro allen Unternehmen und Privatanwendern zu folgenden Sicherheitsmaßnahmen: · PCs und Netzwerke müssen durch URL-Filtering sowie einen Rootkit- und E-Mail-Scanner geschützt werden.
·
IT-Administratoren sollten zum Schutz ihrer Anwender bestimmte URLs blockieren. Trend Micro hat eine entsprechende URL-Liste erstellt und ins Web gestellt. Zu finden ist die Liste auf der Technical-Details-Seite der Beschreibung zu TROJ_SMALL.EDW unter: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName= · Wenn keine ausreichende URL-Filtering-Funktionalität zur Verfügung steht, muss der Zugriff auf alle URLs blockiert werden, die auf der Trend Micro-Webseite aufgeführt sind · Darüber hinaus sollten Anwender nur bereits bekannte Web-Seiten besuchen, Dateien nicht aus unbekannten Quellen herunterladen und keine E-Mails oder Dateianhänge öffnen, wenn der Absender unbekannt ist. Dies gilt insbesondere für an Emails angehängte Dateien mit der Endung ".exe". Trend Micro empfiehlt daher, entsprechende Dateianhänge falls möglich bereits am E-Mail-Gateway zu blockieren. (Trend Mico: ra) |
||
|
