Porno zieht noch immer, das zeigt auch die neueste Malware eindrücklich. Ein Trojanisches Pferd wird über einen Link in einer Mail auf den Rechner geladen und installiert ein Rootkit, wie Antivirus-Firmen warnen.
Der britische Antivirus-Hersteller Sophos warnt von einem Trojanischen Pferd, das über Links in Spam-artig verbreiteten Mails verteilt wird. Die Mails tragen einen Betreff wie "FREE PORNO" und versprechen "heiße Fotos" von einer Geburtstagsfeier. Sie enthalten einen Link, der vorgeblich eine solche Fotosammlung herunter laden soll, tatsächlich handelt es sich jedoch um das Trojanische Pferd "Troj/Pushu-A", bei McAfee als " Spy-Agent.bv.dldr " bekannt.
Als Link-Text wird zum Beispiel "photo.rar" angezeigt, während dann eine "foto.exe" (Größe: 24 KB) von einem russischen Web-Server geladen wird. Beim Öffnen dieser Datei legt Troj/Pushu-A mehrere SYS-Dateien im System32-Verzeichnis von Windows an. Zunächst wird "runtime.sys" angelegt und als neuer Dienst mit dem Namen "Runtime" registriert. Ferner legt Troj/Pushu-A im Unterverzeichnis "drivers" entweder eine Datei mit dem Namen "ip6fw.sys" oder "netdtect.sys" an, die ebenfalls als neuer Dienst ("Restore") registriert wird. Das ganze dient als Rootkit zur Tarnung der Malware.
Dann injiziert der Schädling Code in den Prozess des Internet Explorers und veranlasst so den Download eines weiterer Malware. Diese landet als "?_exception.nls" (?= eine Zahl) im System32-Verzeichnis oder mit Namen wie "ldrnt.bin" oder als EXE-Datei mit einer Zufallszahl im Namen im TEMP-Verzeichnis. Der Schädling ermöglicht den Zugriff auf den infizierten Rechner über das Internet und spioniert Informationen aus.
Quelle :
www.pcwelt.de
