Die Vorgehensweise von Briz.F ist komplex und raffiniert. Der Angriff beginnt automatisch, wenn der User eine der angeblich erotischen Webseiten anklickt. Zur Installation der ersten Briz Datei „iexplore.exe“ nutzt der Schädling vorhandene Sicherheitslücken. Er kann sich aber auch durch E-Mails, aus dem Internet geladene Dateien, via P2P und gemeinsame Dateizugriffe auf Netzwerke verbreiten.

Die erste Komponente von Briz.F, „iexplore.exe“, dient lediglich zum Auskundschaften der System-Umgebung. Wenn der User eine Internet-Verbindung herstellt, wird eine weitere Datei, „ieschedule.exe“ aufs System geladen, welche die Windows Security Center Services abschaltet und die vom Hacker benötigten Informationen (Name des Anwenders, IP Adresse, Standpunkt, etc) sammelt. Gleichzeitig verschafft sich die nächste schädliche Datei „smss.exe“ Zugang zum Computer, um die Host Datei zu ändern und den Abbruch der Aktion durch ein Sicherheitsprogramm zu verhindern. Letztendlich erfolgt die für den User schädlichste Ausführung: Die Datei „ieredir.exe“ wird installiert, um den Eigentümer des befallenen Rechners auf eine getürkte Bankseite umzuleiten und seine Zugangsdaten mitzuprotokollieren sowie Informationen vom Windows Protected Storage und den E-Mail Programmen Outlook, Eudora und The Bat an den Programmierer zu versenden.

Nachdem sie ihren Zweck erfüllt haben, zerstören sich die meisten dieser Dateien selbständig. Auf diese Weise wird die Ermittlung der Briz.F Opfer erheblich erschwert. „Da sich die neue Briz Version nach getaner Arbeit wieder selbst vernichtet, wird es für traditionelle Antivirenhersteller kompliziert, Gegenmaßnahmen zu ergreifen, ohne den entsprechenden Code zu untersuchen. 

Quelle: www.pressebox.de