Zwei neue Trojaner unterwegs
21. Oktober 2005
Sicherheitsexperten warnen derzeit vor gleich zwei neuen Trojaner, die im Umlauf sind. Der eine tarnt sich als eBay-Rechung und kommt in einem E-Mail mit einem Betreff wie "Ebay-Gebuehren", "eBay Auktionen" oder "Wichtige Rechung". Dem Mail angehängt ist ein Attachment namens rechnung.pdf.exe, im Mailtext findet sich eine Rechnungssumme zusammen mit einem Text, dass dieser Betrag fällig sei. Ausserdem solle die mitgesandte Rechung ausgedruckt werden. Wird das Attachment geöffnet, versucht der Trojaner eine Verbindung zu verschiedenen Servern herzustellen und weitere Schädlinge auf den Rechner zu laden – darunter auch Keylogger.
Wie die Sicherheitsspezialisten von F-Secure ausserdem berichten, haben findige Virenschreiber einen neuen Weg gefunden, ihre Schädlinge an den Mann beziehungsweise auf die Rechner zu bringen. Beim neu aufgetauchten Schädling handelt es sich um eine Version aus der RBot-Familie. Jedoch wird der Bot nicht einfach via E-Mail verbreitet. Vielmehr wird eine E-Mail gesendet, die beispielsweise auf ein Update für den Virenschutz hinweist. Ausserdem findet sich ein Link zu der Seite www.thefive.us, über den man angeblich das Update besorgen kann.
Öffnet ein User nun diese Seite, wird automatisch eine Datei namens rxBot.exe auf den Rechner geladen und der Rechner ist verseucht. Problematisch ist dabei offenbar, dass die E-Mails mit dem Link mit höchster Wahrscheinlichkeit durch sämtliche Mail-Filter kommen, da sie weder einen Anhang noch einen getarnten Link enthalten – also zwei der wesentlichen Merkmale, auf die Filterregeln reagieren, fehlen. F-Secure rät aus diesem Grund, an der Firewall die Domain www.thefive.us zu sperren und so einen möglichen Zugriff zu blockieren. (IW)
Wie die Sicherheitsspezialisten von F-Secure ausserdem berichten, haben findige Virenschreiber einen neuen Weg gefunden, ihre Schädlinge an den Mann beziehungsweise auf die Rechner zu bringen. Beim neu aufgetauchten Schädling handelt es sich um eine Version aus der RBot-Familie. Jedoch wird der Bot nicht einfach via E-Mail verbreitet. Vielmehr wird eine E-Mail gesendet, die beispielsweise auf ein Update für den Virenschutz hinweist. Ausserdem findet sich ein Link zu der Seite www.thefive.us, über den man angeblich das Update besorgen kann.
Öffnet ein User nun diese Seite, wird automatisch eine Datei namens rxBot.exe auf den Rechner geladen und der Rechner ist verseucht. Problematisch ist dabei offenbar, dass die E-Mails mit dem Link mit höchster Wahrscheinlichkeit durch sämtliche Mail-Filter kommen, da sie weder einen Anhang noch einen getarnten Link enthalten – also zwei der wesentlichen Merkmale, auf die Filterregeln reagieren, fehlen. F-Secure rät aus diesem Grund, an der Firewall die Domain www.thefive.us zu sperren und so einen möglichen Zugriff zu blockieren. (IW)
Artikel kommentieren
