PandaLabs berichtet über einen neuen Trojaner der vorgaukelt ein Weihnachtsgruß zu sein und tatsächlich Informationen sammelt und sich via E-Mail verbreitet.

"MerryX.A" erreicht das System via E-Mail mit der Betreffzeile "Merry Christmas!" und dem Text "Merry Christmas and a Happy New Year!". Die E-Mail beinhaltet zwei Dateianhänge: Eine animierte .GIF Datei mit der Bezeichnung "A_LIGHTSMC10.GIF" welche den Schriftzug "Merry Christmas" mit blinkenden Lichtern zeigt und ein selbstentpackendes .RAR-Archiv das zwei Dateien enthält: Eine Kopie des Trojaners (Dateiname "SQLServer.exe") und eine Flash-Animation.

Während die .GIF Datei keinen Schaden anrichtet, startet die selbstentpackende .RAR Datei die Infizierung. Sobald die Datei geöffnet wird, startet die Flash Animation. Diese Animation spielt eine Weihnachtsmelodie und zeigt Santa Claus in einem rot umrandeten Fenster, wie er Geschenke an einen Weihnachtsbaum hängt. Unbemerkt wird im Hintergrund der Trojaner gestartet und so der Computer infiziert.

Beide Dateien befinden sich, selbstverständlich ohne schadhaften Code, in der Anlage dieser Nachricht als .zip Datei.

MerryX.A startet nach erfolgreicher Infizierung sofort damit Daten, wie z.B. IP-Adresse und Informationen über die Hardware, zu sammeln und diese an einen Remote Server zu senden. Ebenfalls versucht der Trojaner Dateien von unterschiedlichen Web-Seiten herunter zu laden. Dieses Verhalten lässt darauf schließen, dass MerryX.A nur als "Türöffner" für weitere bösartige Software fungiert.

"Dieser Trojaner ist ein weiteres Beispiel dafür, dass immer mehr Malware versucht Massen-Mails, wie sie immer häufiger zu bestimmten Anlässen versendet werden, auszunutzen. Obwohl sein Verhalten nicht als besonders gefährlich eingestuft werden kann und die gesammelten Daten nicht offensichtlich einen finanziellen Schaden nach sich ziehen, darf nicht die Möglichkeit übersehen werden, dass es sich hierbei um einen "Türöffner" für weitere Viren, Würmer oder Trojaner handeln kann. Diese können dann selbstverständlich in der Lage sein sensible Daten, z.B. Kreditkarteninformationen, Login-Informationen o.ä. stehlen." bemerkt Luis Corrons, Chef-Techniker der PandaLabs.

Es ist nicht das erste Mal, dass Malware Autoren die Weihnachtszeit nutzen um eine weite Verbreitung Ihres schadhaften Codes zu erreichen. Zafi.D, ein Wurm der letztes Jahr "Alarmstufe Rot" auslöste, infizierte weltweit IT Systeme indem er vorgab eine Weihnachtskarte zu sein. Maldal.C, der ein ähnliches Design wie MerryX.A vorwies, kam als Santa Claus Postkarte daher und verbreitete sich im Dezember 2003.

"Nutzer sollten immer sehr vorsichtig im Umgang mit E-Mails sein aber gerade in diesen Tagen sorgt ein erhöhtes Aufkommen und die vertrauten Betreffzeilen für eine gewisse Unachtsamkeit. Sicherlich handelt es sich bei diesem Versuch nicht um den letzten für dieses Jahr..." fügt Luis Corrons hinzu.

Quelle: Pressemitteilung Panda Software Deutschland