Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Software
Veröffentlicht am 24.02.2004 19:23:39
Kaspersky Labs warnt vor einem neuen Trojaner, welcher sich über ICQ verbreitet und zur Infektion eine Sicherheitslücke des Internet Explorers nutzt. Mittels einer ICQ - Mitteilung werden die Opfer aufgefordert, eine Internetseite namens Jokeworld zu besuchen, um sich eine Reihe von Karikaturen anzusehen. Allein der Besuch der Webseite ist ausreichend, um sich durch den auf dieser Seite befindliche CHM-Exploit-A mit dem Trojaner zu infizieren. Der Exploit nützt einen bekannten Fehler des Internet Explorers im Umgang mit CHM-Dateien (kompilierte HTML-Hilfeseiten), wodurch automatisch versucht wird, einige Dateien aus dem Internet herunterzuladen. Unter anderen wird die Datei WinUpdate.exe in die Autostart Ordner von Windows kopiert, mit der nun ein „Update“ des Trojaners versucht wird.
Dazu wird der Hauptbestandteil des Trojaners, die Datei Aptgetupd.exe aus dem Internet heruntergeladen und ausgeführt. Hat dies Erfolg so kopiert und registriert sich der Trojaner als „sysmon.exe“ in das Unterverzeichnis Sysmon im Windowssystemverzeichnis. Diese Datei versucht nun verschiedenste Informationen über Finanzgeschäfte, bzw. Daten aus HTTPS Transporten zu sammeln und per FPT in Form von LOG-Dateien zu übermitteln.
Daneben wird noch versucht, einige DLL Dateien in das Windowssystemverzeichnis herunterzuladen. Diese Dateien sind:
java32.dll
javaext.dll
icq_socket.dll
ICQ2003Decrypt.dll
Die beiden letzten DLL-Dateien werden dazu benutzt, um eine Meldung an alle gespeicherten Kontakte übermittelt, die Internetseite Jokeworld zu besuchen und den Trojaner damit zu verbreiten.
Zusätzlich führt Kaspersky Labs an, dass neben dem beschriebenen „Angriff“ auch noch versucht wird, ein Java Archiv herunterzuladen und auszuführen, welches ebenfalls Trojaner enthält.
Einen Patch von Microsoft bezüglich der CHM Fehler gibt es derzeit nicht, einzig ein aktueller Virenscanner, bzw. eine Firewall können Schutz bieten. Empfehlenswert ist es, unbekannte Seiten nicht mit dem Internet Explorer zu betrachten, sondern einen anderen Browser, wie z.B. Opera, Mozilla, Firefox, usw., zu nutzen, um die Gefahr einer Infektion zu minimieren.
Kaspersky Labs; Viruslist
F. Gschlad
« Sony mit DVD+R9-Writer · Trojaner-Warnung von Kaspersky Labs - Worm.Win32.Bizex
· Lian-Li: PC-Gehäuse im G5-Style »