PandaLabs warnt vor Trojaner im Weihnachtsgruß

PandaLabs warnt vor einem neuen Trojaner, der sich als Weihnachtsgruß tarnt. Er spioniert Systeminformationen aus und verschickt sich per E-Mail.

„MerryX.A“ erreicht das System mit der Betreffzeile „Merry Christmas!“ und dem Text „Merry Christmas and a Happy New Year!“. Die E-Mail beinhaltet zwei Dateianhänge: Eine animierte .GIF Datei mit der Bezeichnung „A_LIGHTSMC10.GIF“ , die den Schriftzug „Merry Christmas“ mit blinkenden Lichtern zeigt und ein selbstentpackendes .RAR-Archiv, das zwei Dateien enthält: Eine Kopie des Trojaners (Dateiname „SQLServer.exe“) und eine Flash-Animation.

Während die .GIF Datei keinen Schaden anrichtet, startet die selbstentpackende .RAR-Datei die Infizierung. Sobald die Datei geöffnet wird, spielt die Flash-Animation eine Weihnachtsmelodie und zeigt Santa Claus in einem rot umrandeten Fenster, wie er Geschenke an einen Weihnachtsbaum hängt. Unbemerkt wird im Hintergrund der Trojaner gestartet und so der Computer infiziert.

MerryX.A beginnt sofort, Daten wie die aktuelle IP-Adresse und Informationen über die Hardware zu sammeln und diese an einen Remote Server zu senden. Ebenfalls versucht der Trojaner, weitere Dateien von unterschiedlichen Webseiten herunterzuladen. Dieses Verhalten lässt darauf schließen, dass MerryX.A nur als „Türöffner“ für weitere bösartige Software fungiert.

„Sein Verhalten kann nicht als besonders gefährlich eingestuft werden, die gesammelten Daten ziehen auch keinen offensichtlichen finanziellen Schaden nach sich. Dennoch scheint es sich hierbei um einen Türöffner für weitere Viren, Würmer oder Trojaner zu handeln. Diese können dann in der Lage sein, sensible Daten wie Kreditkarteninformationen oder Login-Informationen zu stehlen,“ erklärt Luis Corrons, Chef-Techniker der PandaLabs.

Es ist nicht das erste Mal, dass Malware-Autoren die Weihnachtszeit nutzen, um eine weite Verbreitung ihres schadhaften Codes zu erreichen. Zafi.D, ein Wurm der im vergangenen Jahr „Alarmstufe Rot“ auslöste, infizierte weltweit Systeme, indem er vorgab, eine Weihnachtskarte zu sein. Maldal.C, der ein ähnliches Design wie MerryX.A vorwies, kam als Santa-Claus-Postkarte und verbreitete sich im Dezember 2003. (uka)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.