Komplexe Infektion umgeht Virenscanner
WebMoney spioniert Bankverbindung aus

Die verschlüsselte Datenübertragung via Internet galt bislang als Schutz vor Datenspionage. Ein neuer Trojaner durchbricht diesen Schutz.

hiz DÜSSELDORF. Mit "WebMoney" ist ein neuer Trojaner im Internet aufgetaucht, der in der Lage ist, vertrauliche Daten zu auszuspähen – trotz vermeintlich geschützter Datenübertragungen und installiertem Virenscanner. Wie der Sicherheitsspezialist Finjan meldet, installiert der Trojaner sich als Erweiterung des Internet Explorers, konkret als so genanntes BHO (Browser Helper Object). Ein BHO ist eine Programmbibliothek mit ausführbaren Funktionen, die beim Starten des Browsers geladen wird. Durch diesen Trick kann das Schädlingsprogramm quasi uneingeschränkte Operationen ausführen.

Der Trojaner mit der genauen Bezeichnung "PWS-WebMoney.gen" installiert sich selbständig, wenn man auf die Webseite www4.yesadvertising.com gelangt. Über ein Pop-up-Fenster erfolgt eine automatische Weiterleitung auf die Website www.eva.ee. Diese Seite nutzt dann eine bekannte Schwachstelle des Internet Explorers aus. Es wird eine ausführbare „.chm“-Datei geladen und gestartet. Damit ist der Infektionsmechanismus aber noch nicht abgeschlossen. Von der Seite www.mymaydayinc.com wird zusätzlich das Script „Photos.php“ geladen und ausgeführt. Dem Browser wird dadurch vorgetäuscht, bei der Datei „img1big.gif“, die ebenfalls automatisch geladen wird, handelte es sich um ein Bild. Allerdings handelt es sich um zwei weitere ausführbare Programme, die mit dem Open Source-Kompressor UPX komprimiert wurden. UPX und andere Packer werden nach Aussagen der Spezialisten oft benutzt, um Anti-Viren-Programme zu umgehen. Diese beiden getarnten Programme installieren wiederum die BHO-Dateien mit dem Spionageprogramm. Dann ist der Rechner endgültig verseucht. Wenn der Anwender nun eine der Banking-Webseiten aufruft, die im Programm vordefiniert sind, und sich einer gesicherten HTTPS-Verbindung bedient, späht das Programm die Tastatureingaben aus, bevor sie verschlüsselt werden können. Diese gestohlenen Informationen werden, so Finjan, an die Seite www.refestltd.com geschickt und dort mittels eines Perl-Skripts verarbeitet.

Die komplexe Infektionsprozedur und die gezielte Übertragung ausspionierter Daten an Adressen im Internet weisen darauf hin, dass es sich bei den Autoren um professionelle Betrüger handelt. Nach Ansicht der Finjan-Experten können Hacker mit Trojanern, die beim Besuch einer Webseite installiert werden, herkömmliche Virenscanner umgehen. Für so komplexe Infektionen ist, nach den Aussagen, ein IT-Sicherheitskonzept notwendig, welches das Verhalten schädlicher Codes analysiert, bevor sie zur Ausführung kommen. Auf der Finjan-Webseite steht ein Programm zur Verfügung, mit dem der eigenen Rechner auf solche Schädlinge untersucht werden kann.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%