Pressemitteilungen als Feed erhalten

Pressemitteilungen als RSS 2.0 Feed erhalten Pressemitteilungen als ATOM 1.0 Feed erhalten
Pressemitteilungen als RSS 1.0 Feed erhalten Pressemitteilungen als ATOM 0.3 Feed erhalten

Unternehmensinformationen
Unternehmenskontakt

 Gerald Höfer
 DATSEC Data Security e.K.
 Talstraße 84
 07743 Jena
 Deutschland

 Tel.: +49 (0) 36 41 / 31 14 - 250
 Fax: +49 (0) 36 41 / 31 14 - 299
 Mail: gerald.hoefer@datsec.de

Pressekontakt

 Michael Klatte
 DATSEC Data Security e.K.
 Talstraße 84
 07743 Jena
 Deutschland

 Tel.: +49 (0) 36 41 / 31 14 - 250
 Fax: +49 (0) 36 41 / 31 14 - 299
 Mail: michael.klatte@datsec.de



Luxemburger Computervirus treibt sein Unwesen


Neues aus der Virenwelt: Win32/Inject.NBL mit rasanter Verbreiter

Jena, 28. August 2008 - Mit "Luxemburg" verbindet man automatisch die Begriffe Diskretion und (Daten-)Sicherheit. Wie die ESET Virus Labs jedoch herausfanden, führt der Wurm Win32/Inject.NBL genau das Gegenteil im Schilde. Dieser aus Luxemburg verschickte Virus befällt seit Anfang dieser Woche vor allem Anwender von Windows Live Messenger, AIM und Triton. Befallene PCs werden gegen ihren Willen und ohne Wissen des Anwenders in Botnetze eingespeist und vermutlich für das Versenden von Malware missbraucht.

Neugierde wird bestraft
Die aktuelle Version von Win32/Inject.NBL versendet an Anwender von Windows Live Messenger eine Botschaft. Diese besagt, dass ein Buddy dem User ein Bild senden möchte und man dem angezeigten Link folgen soll. Dieser ist natürlich verseucht. Wer den Link anklickt, wird zum Download und zur Installation eines angeblichen "Windows Microsoft Viewer" aufgefordert. Diesen gibt es natürlich nicht und deshalb wird nur der Text "Picture can not be displayed" angezeigt. Ist dies auf dem Bildschrim zu lesen, ist der PC bereits infiziert.

Das Malware-Programm funktioniert wie ein gewöhnlicher IRC Bot. Er loggt sich in die IRC Leitung ein und wartet dann auf die Befehle des Botnets-Betreibers, um sein Unwesen zu treiben. Anwender von ESET-Produkten sind seit dem Update 3387 vor diesem Virus geschützt.

Aus technischer Sicht ein pfiffiger Virus
Betrachtet man dessen Binärcode, so findet man einige interessante Charakteristiken vor. Zum einen, ist die Funktionsvielfalt dieses "Bots" umfassend:

  • Download
  • Update
  • rm ("remove")
  • msn.msg
  • msn.stop
  • aim.msg
  • aim.stop
  • triton.msg
  • trition.stop

Win32/Inject.NBL kann neue Dateien herunterladen, sich selbst updaten und sich sogar selbst vom infizierten PC löschen. Darüber hinaus kann er sich über Botschaften (*.msg) über die Messenger MSN, AIM und Triton selbst verbreiten.

Zum anderen ist der Virus auch aus technischer Sicht interessant. Nachdem sich Win32/Inject.NBL im Speicher entpackt hat, springt der Packer jedoch nicht auf den originalen Startpunkt des Programms. Stattdessen wird ein neuer Prozess ausgeführt und der ungepackte Schadcode dort injiziert und erst dann gestartet. Diese Technik will vermutlich die Analysefunktionen und Emulatoren von Antiviren-Produkten austricksen.

Erster Auftrag: starke Verbreitung
Bereits befallene Computer erhielten in den letzten Tagen von den Botnetz-Betreibern den Auftrag, sich möglichst stark zu verbreiten. Das Schema bleibt dasselbe: ahnungslose Adressaten sollen verführt werden, den verseuchten Link anzuklicken. Über die zukünftigen Aufgaben läßt sich hingegen nur spekulieren. Die Kommando-Zentrale des Botnetzes nutzt das IRC auf einem Server, der sich momentan (noch) in Luxemburg befindet.

Über die Bedrohungslage durch Malware in Echtzeit können Sie sich unter www.virusradar.com genauer informieren.

< Zurück   Weiter >