Trojaner mit Keylogger-Funktionalitäten für 57% aller Neuinfizierungen verantwortlich!

16 Stunden nach seinem ersten Erscheinen ist der Trojaner Cimuz.EL für mehr als die Hälfte aller aktuellen Computer-Infizierungen verantwortlich.

Anzeige

Die Virenlabore von Panda Software melden eine hohe Verbreitungsgeschwindigkeit des Trojaners Cimuz.EL. 57 Prozent aller aktuellen Malware-Infizierungen gehen zurzeit auf das Konto des Trojaners. Die Installation des schädlichen Codes erfolgt über zwei Schritte. Der erste Teil des Codes fungiert als Downloader. Ist er ins System eingedrungen, lädt er die weiteren Komponenten des Cimuz-Trojaners herunter, die dem eigentlichen Ausführen der Schadroutinen dienen.

Sobald die Installation komplett abgeschlossen ist, protokolliert Cimuz.EL alle Internet-Aktivitäten des Users mit, um sensible Informationen (Usernamen, Passwörter, etc.) sowie Computer-Daten (IP, Hardware- und Software-Daten, Standort, etc.) zu speichern und an den Malware-Programmierer weiter zu versenden. Er ist so entwickelt, dass er sowohl die auf dem Rechner gespeicherten Daten aufspürt als auch die vom Nutzer im Internet eingetippten Angaben aufnimmt.

Um den Internet Traffic überwachen zu können, bindet der Trojaner eine DLL (Dynamische Bibliothek) in den Internet Explorer ein. Alle Informationen (Kreditkartennummern, Zugangsdaten, etc.), die der betroffene Anwender nun in Online Formulare eingibt, kann Cimuz.EL dann sammeln und über einem Server versenden. Zudem setzt er Prozessen von Sicherheits-Tools, wie Antivirenprogrammen oder Firewalls, ein Ende und gestaltet so seine Entdeckung noch schwieriger.

Cimuz.EL legt folgende Dateien in der Windows System Directory an:

  • ISCA.EXE, welche die Datei HHT24.EXE herunter lädt
  • HHT24.EXE, welche die DLL IPV6MONL.DLL installiert
  • IPV6MONL.DLL, welche den Internet Traffic überwacht
  • QAS.TX im Unterordner DRIVERS
  • Anhand von verschiedenen Einträgen in der Windows Registry stellt der Trojaner Cimuz.EL sicher, dass

  • er bei jedem Systemstart aktiviert wird
  • er als ein BHO (Browser Helper Object), also ein ausführbares Programm, das die Funktionen des Internet Explorers erweitert, registriert ist
  • die Erweiterungen im Internet Explorer aktiviert sind, so dass die DLL, die den Traffic kontrolliert, geladen werden kann
  • er auf der Liste der für die Firewall autorisierten Programme steht
  • Der 98,008 Bytes große Trojaner ist in der Programmiersprache Visual C++ v6 geschrieben und verbreitet sich über Internet Downloads, CD’s, infizierte Memory Sticks, E-Mail Anhänge und Sicherheitslücken.

    Über bydata AG, Panda Software
    Das Unternehmen wurde 1990 in Bilbao, Spanien, gegründet. Heute verfügt Panda Software weltweit über Niederlassungen und vertreibt seine Produkte über ein Partner-Netzwerk in über 50 Ländern.
    Panda Software legt großen Wert auf einen kostenfreien 24-Stunden Service, auch an Sonn- und Feiertagen.

    Über PandaLabs
    Seit 1990 ist es Aufgabe des Panda Virenlabors neue Bedrohungen so schnell wie möglich zu analysieren, um alle Kunden zuverlässig schützen zu können.
    Mehrere verschiedene Teams, jedes auf eine bestimmte Malware Art (Viren, Würmer, Trojaner, Spyware, Phishing, Spam, usw.) spezialisiert, arbeiten 24 Stunden 7 Tage die Woche, um einen weltweiten Schutz zu gewährleisten.
    Um dies zu erreichen, werden die Teams durch die TruPrevent™ Technologie unterstützt. Diese arbeitet wie eine Art weltweites Früh-Warnsystem, bestehend aus strategisch verteilten Sensoren, um neue Bedrohungen zu neutralisieren und sie an PandaLabs zur Detailanalyse zu senden.

    Weitere Informationen unter www.pandasoftware.com