Luxemburger Computervirus Win32/Inject.NBL im Umlauf
2. September 2008 | ID: 504 | 15 ArtikeleinblendungenMit „Luxemburg“ verbindet man automatisch die Begriffe Diskretion und (Daten-)Sicherheit. Wie die ESET Virus
Neugierde wird bestraft
Die aktuelle Version von Win32/Inject.NBL versendet an Anwender von Windows Live Messenger eine Botschaft. Diese besagt, dass ein Buddy dem User ein Bild senden möchte und man dem angezeigten Link folgen soll. Dieser ist natürlich verseucht. Wer den Link anklickt, wird zum Download und zur Installation eines angeblichen „Windows Microsoft Viewer“ aufgefordert. Diesen gibt es natürlich nicht und deshalb wird nur der Text „Picture can not be displayed“ angezeigt. Ist dies auf dem Bildschrim zu lesen, ist der PC bereits infiziert.
Das Malware-Programm funktioniert wie ein gewöhnlicher IRC Bot. Er loggt sich in die IRC Leitung ein und wartet dann auf die Befehle des Botnets-Betreibers, um sein Unwesen zu treiben. Anwender von ESET-Produkten sind seit dem Update 3387 vor diesem Virus geschützt.
Aus technischer Sicht ein pfiffiger Virus
Betrachtet man dessen Binärcode, so findet man einige interessante Charakteristiken vor. Zum einen, ist die Funktionsvielfalt dieses „bots“ umfassend:
- Download
- Update
- rm („remove“)
- msn.msg
- msn.stop
- aim.msg
- aim.stop
- triton.msg
- trition.stop
Win32/Inject.NBL kann neue Dateien herunterladen, sich selbst updaten und sich sogar selbst vom infizierten PC löschen. Darüber hinaus kann er sich über Botschaften (*.msg) über die Messenger MSN, AIM und Triton selbst verbreiten.
Zum anderen ist der Virus auch aus technischer Sicht interessant. Nachdem sich Win32/Inject.NBL im Speicher entpackt hat, springt der Packer jedoch nicht auf den originalen Startpunkt des Programms. Stattdessen wird ein neuer Prozess ausgeführt und der ungepackte Schadcode dort injiziert und erst dann gestartet. Diese Technik will vermutlich die Analysefunktionen und Emulatoren von Antiviren-Produkten austricksen.
Erster Auftrag: starke Verbreitung
Bereits befallene Computer erhielten in den letzten Tagen von den Botnetz-Betreibern den Auftrag, sich möglichst stark zu verbreiten. Das Schema bleibt dasselbe: ahnungslose Adressaten sollen verführt werden, den verseuchten Link anzuklicken. Über die zukünftigen Aufgaben läßt sich hingegen nur spekulieren. Die Kommando-Zentrale des Botnetzes nutzt das IRC auf einem Server, der sich momentan (noch) in Luxemburg befindet.
Über die Bedrohungslage durch Malware in Echtzeit können Sie sich unter www.virusradar.com genauer informieren.
Quelle: www.eset.de
Deine Stichworte
Was meinst Du: welches Stichwort passt am besten zu diesem Artikel?
Verwandte Artikel:
» Handy: Zahl bekannter Handy-Schädlinge steigt auf 71
» Weltrekord - 50. Virus Bulletin Award für ESET NOD32 Antivirus Produkte
» Kaspersky: Neuer Handy-Trojaner im Umlauf
» Neuer Computervirus: Festplatten-Daten werden verschlüsselt
» Betrüger werben per Mail “Geldboten” an
Artikel wurde veröffentlicht am: Dienstag, 2. September 2008
Anzahl Artikel-Aufrufe: 15 Artikeleinblendungen
Kategorie/n: Internet-Sicherheit, News, Viren-News
Artikel verschicken:
Bericht verschicken
Artikel drucken:
Artikel drucken
Link zum Artikel: Luxemburger Computervirus Win32/Inject.NBL im Umlauf
