PGPcoder.A - Verschlüsselt Festplattendaten, kommt per Mail

#0
24.05.2005, 15:37
Member
Avatar Malkesh

Beiträge: 669
#1 Ich hoffe dieser Thread geht nicht in den ganzen HijackThis-Posts unter, aber vom Thema gehört er nunmal hier rein und nicht in eines der allgemeinen Security-Foren (oder liege ich da falsch?).

Es geht mir um folgende News:
http://www.heise.de/newsticker/meldung/59819

Trojaner: PGPcoder.A
Aliase: W32/Gopper.A, Virus.Win32.Gpcode.b


Der Trojaner macht auch auf vielen anderen News- und oder Viren-Tickern die Runde.

Die Beschreibung von Trend-Micro finde ich schonmal recht nützlich:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FPGPCODER%2EA&VSect=P

Viruslist stellt außerdem noch eine interessante Randinformation die ich beinahe ganz übersehen hätte:
http://www.viruslist.com/de/viruses/encyclopedia?virusid=67372
http://www.viruslist.com/de/viruses/encyclopedia?virusid=67868
Virus.Win32.Gpcode.a: Wann entdeckt? 08 Dez 2004
Virus.Win32.Gpcode.b: Wann entdeckt? 15 Dez 2004

Die beiden Kandidaten scheinen also durchaus, gar nicht so neu zu sein, wie sie hier "angepriesen" werden? Dennoch könnten sie einen weiteren neuen Trend bei der Malware-Programmierung einläuten, der wieder mal direkt aufs Geld der Opfer abzielt.

Allerdings fehlt mir bei Trend-Micro sowie bei einigen anderen AntiViren-Software-Herstellern (was für ein Unwort) eine entscheidende Information:
Wie verbreitet sich dieser äußerst gefährliche Schädling? Man liest in diversen Quellen, er würde sich selbst nach der Ausführung löschen, dann liest man jedoch wieder, er würde sich in die Registry schreiben, um bei jedem Windows-Start erneut zu starten.

Schön und gut .. aber wie kommt er überhaupt auf die Platte? Per e-Mail? Durch eine Sicherheitslücke im Browser (ansurfen einer infektiösen Seite)? Einfache Verbindung mit dem Internet und Exploit eines Internet-Protokolls oder Dienstes (so wie z.B. Sasser)?

Die Möglichkeiten sind zahlreich, daher misse ich eine Antwort, sollte man doch gerade bei Malware mit solchem Schadpotential auf Nummer sicher gehen.

Wildes Googlen nach Aliasen hat während dem Verfassen dieses Threads endlich eine Antwort auf die Frage gebracht:
http://www.authentium.com/support/Thread/search/RefDetail.asp?RefNo=715

Scheinbar verbreitet sich der Schädling dann also per Mail, da er jedoch laut News-Tickern keine Verbreitungsroutine hat um sich selbst zu verschicken, muss er scheinbar manuell bzw. über Spam-Listen aktiv versendet werden.
Also: Wie immer, äußerste Vorsicht walten lassen bei E-Mail Anhängen.

Es würde mich jedoch freuen, wenn jemand diese "Erkenntnis" bestätigen könnte.
Außerdem glaube ich nicht das es der letzte Schädling seiner Art sein wird. Es würde mich nicht überraschen, wenn sich dies zu einem neuen Trend entwickeln könnte, bei dem dann auch eine aktive Verbreitung nicht mehr auszuschließen ist, oder alternativ eine immer wieder kehrende Welle an verseuchten Spam-Mails wie beim Phishing über uns herein brechen wird.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: