Ein am Sonntag begonnener, Spam-artiger Versand einer neuen Variante eines bekannten Trojanischen Pferds wirkte sich zum Teil erst am Montag aus. Viele Benutzer fragen ihre Postfächer erst montags im Büro ab, wobei regelmäßig größere Mengen an über das Wochenende angesammelten Spam-Mails die Übersicht erschweren können.
Mit Mails, die einen fordernden Betreff wie zum Beispiel "Öffnen" tragen, kam in einer angehängten ZIP-Datei auch eine neue Variante eines Trojanischen Pferds aus der "Mitglieder"-Familie ins Haus. Diese ähneln den Bagle-Würmern und werden daher von einigen Antivirus-Produkten auch als Bagle-Variante gemeldet. Allerdings waren auch am frühen Montag Abend noch für einige Virenscanner keine Updates verfügbar, mit denen der Schädling erkannt wurde. Inzwischen haben alle Hersteller passende Updates bereit gestellt.
Laut der Analyse von F-Secure kopiert sich "Mitglieder.CN", wie er bei F-Secure genannt wird, mit dem Dateinamen "winshost.exe" in das Windows-System-Verzeichnis und legt dort eine weitere Datei "wiwshost.exe" an. Letztere ist eigentlich eine DLL (Programmbibliothek) und wird in den laufenden Prozess des Windows Explorers injiziert.
Der Schädling trägt sich in die Windows-Registry ein, damit er beim Start von Windows automatisch geladen wird:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%system%\winshost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%system%\winshost.exe"Die Variable %system% steht dabei für das System-Verzeichnis von Windows, also meist "C:\Windows\System32" bei Windows XP Home und "C:\Winnt\System32" bei Windows 2000 und XP Pro. Beim ersten Start öffnet Mitglieder.CN ein Programmfenster von MS Paint.
Der Funktionsumfang beinhaltet das Beenden von Antivirus- und anderen Sicherheitsprogrammen, Manipulationen an der HOSTS-Datei und den Download weiterer Malware von diversen Web-Servern. Ferner löscht Mitglieder.CN die Registry-Einträge einiger Sicherheitsprogramme, durchsucht alle Festplatten nach Dateien mit dem Namen "mysuperprog.exe" und löscht diese gegebenenfalls. Gelingt das Nachladen des Schädlings aus dem Internet wird dieser als "ile.exe" in das Windows-Verzeichnis kopiert und dann ausgeführt.
Trotz mehrfacher Massenaussendung des Trojanischen Pferds in Spam-Manier wird die Verbreitung bislang eher gering eingeschätzt, da sich Mitglieder.CN (AntiVir: "Worm/Bagle.gen"; Kaspersky: "Email-Worm.Win32.Bagle.br"; McAfee: "W32/Bagle.dldr"; Symantec: "Trojan.Tooso.J") nicht selbst weiter ausbreitet.
Quelle :
www.pcwelt.de
