3 Millionen E-Mail-Adressen attackiert - auch in Deutschland und Österreich angegriffen

Hochkomplexer Malware-Angriff mit mehr als 19 Arten von Malware

(24.08.05) - Panda Software berichtet über einen "verketteten Angriff" durch den Trojaner SpamNet.A. Der Trojaner wurde auf einer Web-Seite entdeckt, die von einer russischen Adresse registriert wurde und auf einem Server in den USA gehostet wird. Der Angriff ist hoch komplex. Über eine Baumstruktur mit mehr als 19 Arten von Malware versucht SpamNet.A Junk-Mails zu versenden. Zurzeit sind bereits 3 Millionen E-Mail Adressen weltweit betroffen, darunter auch Adressen in Deutschland und Österreich.

Panda Software hat die Unternehmen, die die Dateien und Web-Seiten hosten und die Hauptbe-standteil dieses organisierten Angriffs sind bereits informiert.

Die Infektionskette beginnt mit dem Besuch der oben erwähnten Web-Seite. Die Seite nutzt einen Iframe tag, um zwei neue Seiten zu öffnen. Das löst wiederum zwei parallele Prozesse aus:

Öffnet sich die erste der beiden Seiten werden sechs weitere Seiten mit pornografischen Inhalt geöffnet. Zusätzlich wird der User zu einer siebten Seite weitergeleitet, die den eigentlichen Angriff startet. Diese siebte Seite nutzt zwei mögliche Schwachstellen, Ani/anr und Htmredir aus, um ihre Angriffe zu starten. Ist der Angriff erfolgreich, wird eine von zwei identischen Dateien installiert und ausgeführt: Web.exe oder Win32.exe.

Mit der Ausführung dieser Datei werden sieben Dateien auf dem infizierten System erstellt. Die erste Datei, die erstellt wird, ist eine Kopie der ausführbaren Datei. Weitere sechs Dateien folgen:

Die ersten beiden sind identische Kopien von Downloader.DQY. Beide erstellen eine Datei namens svchost.exe im Betriebssystem, welche wiederum die Malware Downloader.DQW darstellt. Dieser gibt sich als Systemservice aus, der alle zehn Minuten versucht Dateien herunter zu laden und zu starten. Der Download soll von vier verschiedenen Web-Adressen unterschiedliche Schädlinge herunterladen. (Panda Software: ma)