Spezies

Virtumod-Trojaner tarnen sich mit polymorphen Packern

Trojaner mit ständig arbeitendem Algorithmus nur schwer identifizierbar
Von Christian Horn

In seiner Analyse der Internet-Sicherheitsbedrohungen im Monat Juli warnt das Sicherheitsunternehmen Dr.Web besonders vor der Trojaner-Familie 'Virtumod'. Die verschiedenen Virtumod-Varianten, von anderen Antiviren-Herstellern auch als 'Virtumonde', Vundo' oder 'Monder' bezeichnet, hätten es zwar noch nicht in die Top-Ten der am häufigsten auftretenden Malware geschafft, seien jedoch die "augenblicklich interessanteste Spezies".

Nach Angaben von Dr.Web seien gegenwärtig nur einige wenige Antivirus-Unternehmen in der Lage, Virtumod-Trojaner zu erkennen und erfolgreich zu eliminieren. Grund hierfür sei ein ständig arbeitender Algorithmus, den die Virenschreiber bei der mehrstufigen Entwicklung der polymorphen Packer der Trojaners einsetzen. Virtumod sei zwar nicht das einzige aktive Beispiel im Trend des 'Offline-Polymorphismus', zeige aber auf, dass ohne die Entwicklung von Technologien zur Erkennung von polymorphen Packern die "Antivirus-Industrie bald vor größeren Schwierigkeiten stehen kann".

Autorunner-Würmer verbreiten sich über USB-Sticks

Die Top-Ten der am häufigsten verbreiteten Malware wurde im vergangenen Monat von der Wurm-Familie 'Autorunner' dominiert. Die Autorunner-Würmer verbreiten sich über Flash-Speicher wie USB-Sticks, deren zunehmende Verbreitung dieses Medium zum beliebten Malware-Transporter der Cyberkriminellen gemacht hat. Dr.Web rechnet damit, dass die Verbreitung von Malware-Dateien über USB-Sticks nur der Beginn eines Trends ist, bei dem die Schadprogramme auch über andere Geräte wie digitale Kameras, Videogeräte oder Handys eingeschmuggelt werden.

Dr.Web warnt im seiner aktuellen Bedrohungsanalyse zudem vor dem sich relativ schnell verbreitenden Trojaner 'Trojan.Clb", der ein Rootkit und per Splicing-Technologie Dateien auf der Festplatte und Bereiche der Registry versteckt. Der Trojaner 'Trojan.DnsChange.967' ersetzt IP-Adressen auf WLAN-Routern, die eine Konfiguration über Web-Interface unterstützen und kann über diese IP-Adressänderung die Daten des Nutzers an die Cyberkriminellen weitergeleiten.

Eine weitere Warnung gibt Dr.Web bei Infektionen mit dem Trojaner 'Trojan.Okuks'. Dieser Trojaner werde zwar von den meisten Antiviren-Produkten erkannt, jedoch nicht immer korrekt entfernt, wodurch es häufig vorkomme, dass der PC beim Neustart nur einen Bluescreen zeigt. Dr.Web selbst bietet ein kostenloses Tool zur Malware-Erkennung und Säuberung des PCs an.

Mehr zum Thema Rootkits