Downloader.EJD hat folgende Eigenschaften: 

Absender: [email protected]

Betreffzeile: What You Need to Know About the Zotob.A Worm

Nachrichtentext:

What You Should Know About Zotob

Published: August 14, 2005 | Updated: August 19, 2005 Severity VirusGreen

What the levels mean

Supported Software Affected

Windows All Version

Microsoft Security Advisory 899588

Zotob.A
Zotob.B
Zotob.C
Zotob.D
Zotob.E
Bobax.O
Esbot.A
Rbot.MA
Rbot.MB
Rbot.MC

Zotob is a worm that targets All Windows computers and takes advantage of a security issue that was addressed by Microsoft Security Bulletin MS05-039. This worm and its variants install
malicious software, and then search for other computers to infect.

Important If you have installed the update released with Security Bulletin MS05-039, you are
already protected from Zotob and its variants. If you are using any supported version of Windows, you are not at risk from Zotob and its variants.

Use the Microsoft Windows Malicious Software Removal Tool to search for and remove the Zotob worm and its variants from your hard drive.

This tool checks for and removes infections from Zotob.A through Zotob.E as well as Bobax.O,
Esbot.A, Rbot.MA, Rbot.MB, and Rbot.MC. It also checks for and removes all versions of malicious
software that the tool has been updated to remove.
 

Angehängte Datei:

MS05-039.exe, dies entspricht der Bezeichnung von Microsoft für den echten Patch

Startet der User die Datei installiert sich der Trojaner unter dem Namen svchst.exe und startet
automatisch. Er versucht diverse Sicherheitsanwendungen außer Kraft zu setzen und lädt die Datei test.exe aus dem Web herunter, die wiederum einen anderen Trojaner namens Agent.AII enthält.  

Agent.AII
stielt Informationen und überträgt diese durch Webseiten, die in ihrer URL Bezeichnungen wie die folgenden enthalten:
e-gold, e-bullion, intgold, 1MDC, Pecunix, GoldMoney, Virtualgold, NetPad, paymer...
 
Hupigon.BS
Ist ein Backdoor Trojaner der Tastaturanschläge aufzeichnen und Dateien stehlen, downloaden oder starten kann. Außerdem kann er Screenshots erstellen und die laufenden Prozesse überprüfen.
 
KGBSpy
Ist ein Hacking Tool, das eigentlich legal und nützlich ist, jedoch in den falschen Händen zu
einer Bedrohung werden kann.
KGBSpy kann Tastaturanschläge aufzeichnen und diese vie eMail oder FTP automatisch versenden. Er kann im Stealth Mode operieren, so dass der User nichts von seinen Machenschaften bemerkt.
 
Cmdow.A
Ist ebenfalls ein Hacking Tool, genauer ein Command-Line Utility,  dass noch nicht einmal auf dem Rechner installiert werden muss um seine Aktionen ausführen zu können. Cmdow.A greift offene Fenster im System an und kann diese verschieben, umbenennen oder die Größe ändern. Natürlich ist dies an sich nicht schädlich, jedoch kann auf diese Weise verhindert werden, dass der User sieht welche Fenster ein Programm gerade öffnet.
 
Processor
Ist eine weitere Command-Line Anwendung, die sowohl lokal als auch remote ausgeführt werden kann. Das Programm sammelt Informationen über laufende Prozesse auf dem angegriffenen Rechner und kann diese sowohl öffnen als auch schließen.

Scannen Sie Ihren Rechner kostenfrei unter: www.activescan.com

Panda Software´s TruPrevent Technologien konnten diese List erfolgreich erkennen und haben User vor einer Infektion bewahrt. Diese pro-aktiven Technologien arbeiten mit Verhaltensanalysen und können so auch ohne aktuelle Signaturdatei vor neuen Viren schützen. Bei traditionellen Programmen ohne pro-aktive Technologien kann eine gefährliche Zeitlücke zwischen dem Erscheinen eines neuen Virus und der Bereitstellung der nötigen Signaturdatei entstehen. TruPrevent schließt diese Lücke. Dies bewies auch ein kürzlich durchgeführter Test eines unabhängigen Test-Labors.

Quelle: Pressemitteilung Panda Software