Das Sicherheitsteam des Software-Herstellers Pandasoft konnte in der letzten Woche verstärkte Aktivitäten dreier Schädlinge registrieren und
klassifiziert den Zeitraum damit als "ruhige Virenwoche". Obwohl die Infektionsgefahr hierzulande gering ist, sind die Folgeschäden einer Infektion kaum abzuschätzen.
Mepe.A
Dieser Wurm tritt verstärkt im lateinamerikanischen Raum auf und verbreitet sich über Instant Messenger. Er tarnt sich als Shockwave-Datei, die, wenn sie ausgeführt werden soll, mit einer Fehlermeldung abbricht. Währenddessen kopiert sich der Wurm auf den infizierten Rechner und trägt sich als Autostart-Programm in die Registry ein. Dann sucht er nach geöffneten Messenger-Fenstern und lockt die dortigen Gesprächspartner zu einer Internetadresse, über die sie ebenfalls mit dem Wurm infiziert werden. Auf deutschsprachigen
Betriebssystemen ist der Wurm nahezu wirkungslos, da er sich an Fenstertiteln in spanischer Sprache orientiert.
Mitglieder.EW und Mitglieder.FB
Diese beiden Trojaner besitzen keine eigene Verbreitungsroutine, sondern werden entweder manuell, über Würmer, die als Träger dienen (beispielsweise Bagle) oder über Bot-Netze verbreitet. Auf einem befallenen System setzen die Trojaner Sicherheitsprogramme, zum Beispiel Desktop Firewalls, verschiedener Hersteller außer Kraft und löschen entsprechende Einträge aus der Windows Registry. Zuletzt versuchen beide, eine Datei namens OSA6.GIF aus dem Internet zu laden, die ein Schadprogramm enthält. Bei Mitglieder.EW handelt es sich um eine Variante der "Fantibag"-Familie, Mitglieder.FB lädt stattdessen eine Variante von "Downloader".
Der offenkundigste Hinweis auf einen der beiden Trojaner ist die Anwendung Notepad (der Windows Editor), die sich unvermittelt öffnet, wenn der Trojaner ausgeführt wird.
