Bild vergrößern
937
639
http://img3.magnus.de/Handy-Viren-Mobiler-Angriff-r937x639-C-69eec07b-29390773.jpg
ICQ-Wurm und TR/Agent.ruo machten Nutzern im April zu schaffen
Sicherheitscheck von Doctor Web - die Malware-Bedrohung im April
Jeden Monat durchkämmt der Sicherheitsdienstleister Doctor Web private und professionelle Foren aus dem Bereich Viren, Trojaner und Malware und erstellt auf Basis der Einträge eine Sicherheits-Analyse. Zu welchem Ergebnis das Unternehmen im letzten Monat kommt, finden Sie exklusiv auf magnus.de.
Unter den berücksichtigen Communitys sind unter anderem die Auftritte von Herstellern wie Bitdefender, Symantec und Avira sowie privat finanzierte Foren wie Trojaner-board.de oder virustotal.com.
In den ersten beiden Aprilwochen sorgte der von Avira klassifizierte Trojaner "TR/Agent.ruo" für Aufsehen, der mit einer Besonderheit die Säuberung betroffener Rechner zusätzlich erschwerte: Der Name des Schädlings besteht aus einer Zufallskombination von Zahlen- und Buchstaben.
Die ersten Infektionen wurden Ende März gemeldet, nur wenige Tage später warnten einige Forenuser bereits vor neuen Varianten. Die Malware tritt unter anderem auch als TR/Agent.RUO.3, TR/Agent.RUO.4 und TR/Agent.RUO.6. TR/Agent.ruo auf.
Die schädliche Dateien werden meist im Systemordner „system32“ versteckt und tragen die Endungen .exe, .dll oder .sys. Trotz Nachfragen und der Besorgnis vieler Benutzer existiert bisher keine offizielle Beschreibung des Virus' auf avira.de.
Ein Wurm sorgt für Unheil
Zur Monatsmitte hin ließen die Infektion von TR/Agent.ruo etwas nach, dafür trat mit dem Wurm "IMG0207402702010.JPG" ein neuer Schädling auf, der sich über den Instant Messaging Dienst ICQ verbreitete. Nach der Infektion wurde über den Account die Nachricht "Schau dir mal das Foto an" an alle Freunde und Bekannte aus der Kontaktliste versendet, zusammen mit einem Link.
Der Link war als harmlose Bilddatei mit der Endung .jpg getarnt, tatsächlich führte er jedoch zu einer ausführbaren Datei des Typs.scr, über den sich der neugierige ICQ-Nutzer ebenfalls unbewusst mit dem Wurm infiziert und diesen ungewollt weitersendet.
Das Entfernen des Wurm gestaltete sich zunächst als schwierig. Zahlreiche Antivirenprogramme erkennen ihn jedoch mittlerweile und verhindern das Ausbreiten der Bedrohung.
Wolf im Schafspelz
Gegen Ende April kämpften viele User gegen das vermeintliche Virenschutz-Programm "Antimalware Doctor". Dahinter verbirgt sich Schadsoftware, die durch den Download von Key-Generatoren, Cracks und ähnlichen illegalen Anwendungen auf den Rechner gelangt.
Dank der verblüffend echt wirkenden Benutzeroberfläche und den realistisch anmutenden "Virenmeldungen" bemerkten viele Betroffene zunächst die Infektion nicht. Die spätere Entfernung der Malware gestaltete sich jedoch umso schwieriger.
Zur gleichen Zeit etablierte sich auch der Java-Exploit EXP/Java.CVE-2009-3867.8861 sowie verschiedene Varianten des Trojaners "Ertfor" (Klassifikationen laut Antivir: TR/Ertfor.A.45, TR/Ertfor.B.30 sowie TR/Ertfor.B.31). Über den ganzen April hinweg, seit dem Antivir Engine Update vom 17. März findet das Antivirenprogramm zudem eine große Zahl der Trojaner TR/Crypt.XPACK.Gen, TR.Crypt.ZPACK.Gen sowie TR/Dropper.Gen.
