Der Angriff ist hoch komplex. Über eine Baumstruktur mit mehr als 19 Arten von Malware versucht
SpamNet.A Junk Mails zu versenden. Zurzeit sind bereits 3 Millionen eMail Adressen weltweit, auch
in Deutschland und Österreich, betroffen.

Panda Software hat die Unternehmen, die die Dateien und Webseiten hosten und die Hauptbestandteil dieses organisierten Angriffs sind bereits informiert.

Die Infektionskette beginnt mit dem Besuch der oben erwähnten Webseite. Die Seite nutzt einen
Iframe tag um zwei neue Seiten zu öffnen. Das löst wiederum zwei parallele Prozesse aus:

Öffnet sich die erste der beiden Seiten werden 6 weitere Seiten mit pornografischen Inhalt
geöffnet. Zusätzlich wird der User zu einer 7. Seite weitergeleitet, die den eigentlichen Angriff
startet. Diese 7. Seite nutzt zwei mögliche Schwachstellen, Ani/anr und Htmredir aus, um ihre
Angriffe zu starten. Ist der Angriff erfolgreich wird eine von zwei identischen Dateien
installiert und ausgeführt: Web.exe oder Win32.exe.

1.       Mit der Ausführung dieser Datei werden sieben Dateien auf dem infizierten System
erstellt. Die erste Datei, die erstellt wird ist eine Kopie der ausführbaren Datei. Weitere sechs
Dateien folgen:

Die ersten beiden sind identische Kopien von Downloader.DQY. Beide erstellen eine Datei namens
svchost.exe im Betriebssystem, welche wiederum die Malware Downloader.DQW darstellt. Dieser gibt sich als Systemservice aus, der alle 10 Minuten versucht Dateien herunter zu laden und zu starten.
Der Download soll von 4 verschiedenen Webadressen unterschiedliche Schädlinge herunterladen. Zwei Webseiten waren nicht erreichbar während dieser Artikel geschrieben wurde. Die Malware auf den anderen Seiten war:
                        i.      Der Trojaner  Multidropper.ARW
                        ii.     Der Trojaner Sapilayr.A


b.       Die 3. der insgesamt 6 Dateien lautet Adware/SpySheriff

c.       Die 4. ist der Trojaner Downloader.DYB, der versucht die Computer ID ausfindig zu
machen.  Auf Rechnern aus dem UK lädt er Dialer.CHG herunter und startet ihn. Außerhalb der UK
lädt er Dialer.CBZ herunter. Diese beiden Codes stellen teure Premiumverbindungen her.

d.       Nr. 5: Downloader.CRY, erstellt zwei Dateien. Die erste lautet svchost.exe und wird im
Verzeichnis: c:\windows\system erstellt. Die zweite lautet: Lowzones.FO.

e.       Schließlich die 6. Datei: Downloader.EBY er erstellt weitere 6 Dateien:

                  i.    Die erste ist ein Trojaner: Downloader.DLH. Nutzt eine andere Anwendung
um eMail Adressen zu sammeln und via FTP an eine weitere Adresse zu versenden. Im Moment sind bereits 3 Millionen eMail Adressen erschlossen.
                        ii.   Auch die zweite Datei ist ein Trojaner: Agent.EY. Er installiert
sich selbst auf dem System und wird bei jedem Neustart mit aktiviert. Außerdem versucht er Zugriff auf eine Webseite zu bekommen, welche die IP des infizierten Systems auswertet um      Informationen über die erfolgreichen Infizierungen zu erhalten.
                        iii.  Die Dritte Datei ist Clicker.HA,. Diese Malware, er wartet nach
seiner Ausführung 10 Minuten und öffnet dann alle 40 Sekunden eine Webseite mit pornografischem Inhalt.
                  iv.   Die vierte ist Dialer.CBZ
                  v.    Die fünfte lautet Adware/Adsmart
                  vi.   Downloader.DSV ist Nummer 6. Der Trojaner lädt den Backdoor Trojaner
Galapoper.C von einer bestimmten Adresse herunter.

Galapoper.C führt schließlich die Hauptabsicht des ganzen Angriffs durch: Das Aussenden von Spam.
Er überprüft ob eine offene Internetverbindung besteht, ist dies der Fall werden 3 in seinem Code
verankerte Webseiten besucht und eine Datei herunter geladen. Diese ermöglicht personalisierte
Angriffe und kann weitere Anleitungen oder Updates für den Backdoor Trojaner enthalten.

Galapoper.C prüft zuerst ob auf den drei zuvor genannten Webseiten neue Informationen verfügbar sind. Anschließend nutzt er die zweite Adresse um Spam-Mails, von dem infizierten System, zu versenden. Des Weiteren sammelt er Daten von dem Server (E-Mail Adressen, Betreffzeilen und Texte) die er für seine Spam Nachrichten nutzt. Dies geschieht alle 10 Minuten und jedes Mal wenn er 70.000 Spam-Mails versendet..

2.       Die zweite der Seiten leitet den User zu einer anderen um, die versucht die ByteVerify
Verwundbarkeit zum Ausführen einer Datei in einer URL auszunutzen. Zusätzlich wird eine weitere
Seite aufgerufen, die einen HTML tag enthält, der zum Zeitpunkt dieses Artikels noch nicht
abrufbar war.

Schließlich wird noch eine andere Seite aufgerufen, dessen Code von einer Javascript Funktion
verdeckt wird. Hier wird die ADODB.Stream Funktion zum Überschreiben des Windows Media Players durch eine Datei von einer anderen Seite genutzt

Die Komplexität dieses Angriffs ist noch nie da gewesen. Luis Corrons, Director von PandaLabs:
"Diese Attacke ist raffinierter als normalerweise. Nutzer von TruPrevent Technologie konnten ohne
Signaturdatei geschützt werden doch die Zahl von 3 Millionen bereits erfassten eMail Adressen
zeigt den Erfolg dieses Angriffs. Wie zurzeit immer wieder ist auch hier der finanzielle Vorteil
das Hauptmotiv. Neben einer aktualisierten Anti-Viren Lösung ist ein System, dass auf dem neusten Stand ist wichtig, denn der Erfolg von SpamNet.A basiert größtenteils auf Sicherheitslücken im Betriebssystem."

Mehr erfahren Sie auch unter: http://www.pandasoftware.com/virus_info/

Quelle: Pressemitteilung Panda Software