Polymorphe Trojaner werden zur Herausforderung für Antivirenhersteller

Viren statt Amero-Währung und Sexvideo mit Angelina Jolie

12.08.2008 | Autor / Redakteur: Dirk Srocke / Peter Schmitz

Doctor Web warnt vor gut getarnten Trojanern in Dateisystem und Registry.
Doctor Web warnt vor gut getarnten Trojanern in Dateisystem und Registry.

Antivirenherstellern zufolge haben Malwareautoren im Juli wieder mit erfundenen Geschichten und Sexvideos von Angelina Jolie und Barack Obama um die Mausklicks unachtsamer Anwendungen gebuhlt. Als Payload trugen die E-Mails Trojaner, Würmer und Viren. Einmal auf dem Rechner tarnen sie sich dann per Rootkit und Polymorphie.

Angelina Jolie hat es den Virenautoren angetan: 2,28 Prozent der im Juli versandten E-Mails hatten einen Bezug zu der Schauspielerin, so die Sicherheitexperten von Secure Computing. Zu sehen gab es dabei aber meist nicht die versprochenen Nacktbilder und Sexvideos mit dem Schönheitsidol, sondern jede Menge Malware.

Stattdessen trugen die elektronischen Nachrichten als Payload nicht selten die Datei „msvideoc.exe“. Das Programm installiert keinen Codec, sondern den Schädling „Trojan.Crypt.XPACK.GEN“ warnen Experten. Weitere beliebte Köder der Cyberkriminellen waren der Anwärter auf die US-Präsidentschaft Barack Obama, It-Girl Paris Hilton und die gefallene Pop-Größe Britney Spears.

Auch für Anwender, die nichts mit Prominenten-Klatsch anfangen können, haben Spam- und Virenversender im Vormonat einfaltsreiche Fake-News ersonnen. Darunter zählen nicht nur gefälschte Rechnungen die angeblich vom Versender UPS oder dem Bezahldienst Paypal stammten.

Die Cyberkriminellen erfanden zudem eine neue Währung. Der „Amero“, so ein Schreiben, werde den US-Dollar ablösen und als offizielles Zahlungsmittel in Kanada, Mexiko und den USA eingeführt. In der angehängten Datei „amero.exe“ verbarg sich dann jedoch keine weitere Information zur Währungsreform, sondern eine Variante des StormWorms.

StormWorm in USA am verbreitetsten

Secure Computing hat die Verbreitung eben dises Stormworms untersucht: Mit 30 Prozent stehen die meisten befallenen Rechner in den USA, Russland folgt mit 15,1 Prozent auf Platz zwei. Jeder 20. mit dem Schädling verseuchte Computer steht in Deutschland.

Als weltweiten Malware-Spitzenreiter benennt Secure Computing allerdings den Schädling HMTL/Bankphish.HY. Die Verbreitung des Phishingwerkzeugs legte im Juli um acht Prozent zu und soll jetzt einen Anteil von 67 Prozent am gesamten Malware-Aufkommen haben.

Autorunner verbreiten sich per Flash, Kamera und Handy

Die von Sicherheitsanbieter Doctor Web zusammengestellte Liste verbreitetster Viren führt ein „Autorunner“ an: Win32.HLLW.Autorunner.437. Laut Doctor Web hatte der Wurm einen Anteil von 18,39 Prozent. Der Schädling verbreitet sich bevorzugt über infizierte Flashlaufwerke. In Zukunft wird das Programm jedoch auch Gadgets wie digitale Kameras, Videogeräte oder Handys befallen - so die Prognose der Sicherheitsexperten.

Als weniger prominent aber nicht minder gefährlich stuft das Unternehmen polymorphe Viren ein. Diese seien durch ständig arbeitende Algorithmen schwer zu erkennen. Zusätzlich verschleiern die Autoren ihren Schadcode durch mehrfaches Packen. Hier sieht Doctor Web eine Herausforderung für Antivirenhersteller: Ohne passende Abwehrstrategien werde die Industrie bald vor größeren Schwierigkeiten stehen, warnt das Unternehmen, das selbst einen online verfügbaren Virenscanner anbietet.

Trojaner manipulieren DNS-System beim Client

Zudem warnt Doctor Web vor Trojanern, die das DNS-System auf Client-Seite manipulieren und damit Spoofing ermöglichen. Dabei werden Internet-Nutzer nach Eingabe einer URL auf Internetangebote von Cyberkriminellen umgeleitet. Das ist nicht nur beim Surfen im Web gefährlich, sondern ermöglicht auch das Umleiten vertraulicher E-Mails.

Konkret nennt der Hersteller den Schädling Trojan.Clb. Das Programm enthält ein Rootkit und ist in Registry und Dateisystem nur schwer zu entdecken. Eine Trojan.DnsCHange.967 genannte Software manipuliert Routereinstellungen. Für das Schadprogramm sind laut Doctor Web besonders per Web-Interface konfigurierte Systeme anfällig, zum Beispiel Access Points für WLANs.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2014706 / Malware)