Warnung vor zwei neuen Trojanern

Gleich vor zwei neuen Bedrohungen warnt der Sicherheits-Spezialist Microworld. Der IRC Backdoor-Trojaner Mabutu-A gelangt per E-Mail-Anhang oder über IRC Channel auf einen PC. Dort kopiert er sich selbst als EXE-Datei in den Windows-Folder. Seinen Dateinamen wählt er sich von bestehenden DLL-Dateien aus. Um sicherzustellen, dass er bei einem System-Start mitgestartet wird, erstellt Mabutu-A folgenden Registry-Eintrag:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunwinupdt = „RUNDLL32.EXE ,_mainRD“

Der Trojaner sendet sich selbst als Attachment mit ZIP- oder SCR-Endung an alle Mail-Adressen, die sich auf dem infizierten PC in WAB-, HTM-, HTML- oder TXT-Dateien befinden. Mabutu-A sucht nach Informationen, die mit MSN-Messenger zu tun haben und sendet diese über IRC Channel an Remote User.

Der Massenmail-Wurm Atak-D gelangt als Mail mit den Betreffzeilen ‚First Match!‘ oder ‚It’s begin here!‘ auf den Rechner. Der Text der Nachricht hat folgenden Wortlaut:

Hello
Your request has been accepted.
Your account info:
>> Email:
>> Password:
Visit our website to get more info at: http://www.“randomly chosen domain“
NOTE: All your account information has been attached as file and ready to be printed.

An dieser Mail ist eine ZIP-Datei mit verschiedenen Namen angehängt. In dem File ist der Wurm ebenfalls mit verschiedener Bezeichnung enthalten. Seine Datei-Endungen können PIF, SCR, EXE, BAT oder COM sein. Atak-D sucht in den Laufwerken C bis Z nach Adressen, an die er sich weiter versenden kann. Wenn der Wurm gestartet wird, kopiert er sich als a1g.exe in den Windows System-Folder und fügt, um sicherzustellen dass er bei einem System-Start mitgestartet wird, folgende Zeile in die win.ini-Datei ein:

load = „Windows system foldersystem“a1g.exe