News 25.11.2002, 13:45 Uhr

Troj/Downloader (Mastaz, Jeem)

Bei diesem Downloader handelt es sich um ein Programm, das einen weiteren Schädling von einer Webseite herunterlädt.
Die Viren-Szene hat sich Spammer-Methoden bedient, um einen Trojaner an eine grosse Anzahl von Mail-Adressen zu verschicken, mit dem Ziel, möglichst viele PCs innert kürzester Zeit mit dem Trojaner zu infizieren.
Die Mails werden mit verschiedenen Betreffzeilen und Mail-Texten verschickt. In vielen Fällen sehen die Mails aus, als handle es sich dabei um so genannte Bounces, also Unzustellbarkeits-Meldungen von selbst verschickten Mails. Dies ist doch ziemlich hinterlistig: Der Text der gefälschten Bounces fordert die Benutzer auf, die Beilage zu öffnen, um herauszufinden, welche der angeblich selbst verschickten Mails ihr Ziel nicht erreicht haben. Natürlich enthält die erwähnte Beilage nicht die erwartete Kopie der Mail, sondern den Downloader bzw. Dropper.
Jener Dropper ist dazu programmiert, von bestimmten Webseiten einen weiteren Trojaner herunter zu laden, der bei einigen Antivirus-Herstellern als "Jeem" bekannt ist. Dieser wiederum spioniert Passwörter aus und öffnet in der Internet-Verbindung eine Art Hintertüre, die einem Angreifer den Fernzugriff auf das infizierte System erlaubt.
Der Dropper erstellt einen Eintrag beginnend mit ".inr" in diesem Registry-Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Der Eintrag könnte etwa so lauten:
.inr\5Nzg1mOWKzFnuvu6 = "C:\(Ordner und Dateiname des Trojaners)".
Falls Sie sich den Downloader (Dropper) eingefangen haben entfernen Sie den Eintrag des Trojaners aus dem oben erwähnten Registry-Schlüssel.
Öffnen Sie keine Mail-Beilagen, die Sie nicht erwartet haben. Seien Sie auch vorsichtig, falls Unzustellbarkeits-Mails bei Ihnen eintreffen sollten.
Sowohl vom Dropper als auch vom installierten Backdoor-Trojaner sind verschiedene Varianten im Umlauf.
Infos über einige Downloader-Varianten:
Beschreibungen von Sophos [1], NAI [2] und [3], F-Secure [4] und TrendMicro [5].
Infos über den Backdoor-Trojaner, teilweise als "Jeem" bekannt:
Beschreibungen von Sophos [6], NAI [7], F-Secure [8] und TrendMicro [9].



Kommentare
Es sind keine Kommentare vorhanden.