Trend Micro warnt vor Trojaner

23.01.2007
Die Malware TROJ_SMALL.EDW schützt sich aktiv vor Entdeckung und verbindet infizierte Computer mit einem eigenen Peer-to-Peer-Netzwerk

Trend Micro warnt alle Computernutzer vor der Malware TROJ_SMALL.EDW. Diese Malware verbreitet sich aktuell über Spam-Mails.

Das Trojanische Pferd versucht infizierte Computer zu einem Peer-to-Peer-Netzwerk zu verbinden und darüber weitere Komponenten zu versenden. Darüber hinaus verfügt die Malware über ein Rootkit, das die Identifikation von infizierten Computern erschwert. Zusätzlich verbreitet sich TROJ_SMALL.EDW über den Wurm WORM_NUWAR.CQ, der auf dem infizierten System eine spezielle Datei hinterlässt.

Laut Trend Micro könnten E-Maisl mit den folgenden Betreffzeilen den Trojaner enthalten: "The Miracle of Love", "My Perfect Love" und "A Bouquet of Love". Aber auch Spam-Botschaften mit dem Titel "230 Dead as Storm Batters Europe" beinhalten TROJ_SMALL.EDW im Anhang. Andere mögliche Betreffzeilen sind: "A Killer at 11, He's Free at 21 to Kill Again", "British Muslims Genocide" und "U.S. Secretary of State Condoleeza Rice has Kicked German Chancellor Angela Merkel".

Bei dem Verbreitungsweg über E-Mail greift die Malware nach dem Start auf das Web zu, um einen Trojan-Downloader zu finden und herunterzuladen. Gelingt dies, werden zusätzlichen Malware-Komponenten herunter geladen. Infizierte PCs bauen ein Peer-to-Peer-Netzwerk und verbreiten die Malware weiter.

Damit werden aus befallenen Systemen sogenannte Bots, auch wenn die Malware keine der bislang üblichen Bot-Techniken verwendet. Die Bedrohung durch TROJ_SMALL.EDW hat somit nicht nur ihren Ursprung im Web, sondern wird auch über das Web kontrolliert, so die Analyse von Trend Micro.

Außerdem agiert das Trojaner-Modul WINCOM32.SYS als Rootkit. Hiermit können sich Dateien und Prozesse vor der Entdeckung schützen. Laut Ivan Macalintal, Senior Threat Analyst bei Trend Micro, verwendet TROJ_SMALL.EDW zwar die üblichen Verbreitungsmethoden, ist aber trotzdem in gewisser Weise einzigartig: "Als einer der ersten Trojaner versucht er ein großangelegtes Peer-to-Peer-Botnet aufzubauen. In den meisten Fällen verwenden Botnets den IRC (Internet Relay Chat) für die sogenannten C&C (Command and Control)-Funktionen. Da IRC immer leichter zu erkennen ist, entwickeln die Malware-Programmierer nun offenbar neue Angriffsmethoden." (rw)

Zur Startseite