Aktuelle IT-Nachrichten und Informationen

Forscher der Security-Firma Finjan sind einem neuen Supertrojaner auf die Spur gekommen, der es insbesondere auf die Bankdaten und das Geld seiner Opfer abgesehen hat. Dabei geht die auf dem Toolkit LuckySpoilt basierende Malware “URLzone” so gevieft vor, nur einen gewissen Prozentsatz des auf einem Konto befindlichen Vermögens zu klauen, um nicht so schnell aufzufallen. Zusätzlich klinkt sie sich beim Online-Banking in den Browser ein und zeigt falsche Kontostände an, um den User in Sicherheit zu wiegen. Der Bank-Trojaner, der im übrigen auch in anderen Web-Accounts wie PayPal, Google Mail und Facebook herumschnüffelt, besitzt Funktionen, die eigens dafür entwickelt wurden, Security-Software zu täuschen.

“Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist”, sagt Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. “Der Trend geht eindeutig hin zu aufwändigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren”, sagt er im pressetext-Gespräch.

Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man vonseiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300.000 Euro erbeutet. “Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben”, so Dirro. Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. “Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an”, sagt der Experte. Die deutschen Behörden sind informiert.

300.000 Euro erbeutet

Die Finjan-Mitarbeiter schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen. Insgesamt sollen rund 90.000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6.400 mit der Malware - eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300.000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder - offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.

Infiziert wurden die Computer auf zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten. So oder so, der Schädling nutzte eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus, um sich auf der Festplatte des Opfers einzunisten und dort bis zum Aufruf der Internetseiten der Zielbanken in eine Art Schläfermodus zu verfallen.

Startet der User Online-Banking-Dienste, wird die Malware aktiv. Sie kapert den Browser, analysiert den Kontostand, ermittelt einen Betrag, der ohne großes Aufsehen entwendet werden kann und überweist diesen auf das Konto eines Strohmanns, der einen kleinen Anteil an den erbeuteten Summen erhält. Anschließend wird der vom User beim Besuch der Banken-Website eigentlich erwartete Kontostand eingeblendet, wodurch dieser keinen Verdacht schöpft - zumindest solange er sich für seine Bankgeschäfte ausschließlich auf dem infizierten Computer anmeldet. Die Verwendung von Strohmännern scheint bei derartigen Angriffen gängige Praxis zu sein. “Diese sogenannten Mules sind ebenfalls Opfer. Das sind Leute, die auf dubiose Jobangebote als Finanzagent reinfallen. Sie werden in den meisten Fällen erwischt und wegen Geldwäsche angezeigt”, weiß Dirro. Den Hintermännern ist freilich sehr viel schwerer beizukommen.

Mit einer Infektionsrate von 14,39 Prozent im August 2009 baut der Trojaner Clicker seine Führungsposition unter den E-Threats weiter aus. Insgesamt hat sich in den Top 10 im Vergleich zum Vormonat wenig getan. Die ersten fünf Plätze bleiben unverändert. Mit Win32.Induc.A und Win32.Virtob.Gen.12 betreten lediglich zwei Neuankömmlinge das Feld der gefährlichsten E-Threats.

Clicker erhöhte seine Erfolgsrate auch deshalb, weil er sich vermehrt über sogenannte “Warez”-Websites verbreitet. Dabei handelt es sich um Download-Portale für Keygens und Cracks für kommerzielle Software und Spiele. Seine beiden Verfolger büßten dagegen leicht an Prozentpunkten ein: Der sich überwiegend über Wechseldatenträger verbreitende Trojan.AutorunINF.Gen kann zwar sein zweistelliges Ergebnis aus dem Vormonat nicht halten, belegt aber weiterhin Rang zwei. Mit 5,68 Prozent folgt der Trojaner Wimad.Gen.1. Dieser hat es vornehmlich auf Advanced System Format (ASF)-Files abgesehen. Dabei handelt es sich um ein von Microsoft entwickeltes Containerformat für digitale Audio- und Video-Dateien. Der Schädling manipuliert ASF-Files derart, dass sie anstatt eines gewünschten Video-Codecs ein gefährliches Binärprogramm downloaden.

Seit mittlerweile acht Monaten befindet sich der als Conficker bekannte Win32.Worm.Downadup in den BitDefender-Top 10 - im August erneut auf Position vier. Die neueste Variante des Wurms installiert fehlerhafte Sicherheits-Software auf dem befallenen System. Ihm folgt auf Platz 5 der polymorphe Datei-Infektor Win32.Sality.OG (2,9 Prozent).

Neu eingestiegen ist auf Platz sechs Win32.Induc.A. Diese Malware befällt insbesondere Applikationen, die auf der von Embarcadero Technologies (vormals Borland) entwickelten Software Delphi basieren. Der Virus infiziert dabei keine Binärdateien, sondern modifiziert die SYSCONST.PAS-File, mit einem schädlichen Code. Sein plötzlicher Einstieg in die BitDefender-Top 10 zeigt, dass sich nur wenige Delphi-User dieser Gefahr bewusst sind. Den im Ranking unverändert liegenden Trojanern Autorun.AET (Platz sieben, 2,35 Prozent) und JS.PYV (Platz acht, 1,87 Prozent) folgt ein weiterer Neuling unter den gefährlichsten E-Threats: Win32.Virtob.Gen. Dieser Infektor versteckt sich in anderen Windows-Prozessen - hauptsächlich .exe- und .scr-Dateien - indem er sie mit einem Virus-Code infiziert. Damit öffnet er eine Art Hintertür für die wirklich aggressiven Angreifer, die so auf einfache Weise die Kontrolle über den jeweiligen Rechner übernehmen können.

Die Tatsache, dass immer noch zu viele User die Sicherheitsanweisungen von Microsoft ignorieren und notwendige Security-Patches nicht installieren, beweist neben der Platzierung von Conficker auch die Präsenz von Worm.Autorun.VHG unter den gefährlichsten E-Threats. Dieser Wurm nutzt typische Windows-Schwachstellen aus, beispielsweise in der Autorun-Funktion, um PCs effektiv zu schaden. Er schließt die Top 10 mit 1,63 Prozent ab.

Laut einer Meldung von Trend Micro kursiert ein Windows-7-RC-Fake, das den Trojaner TROJ AGENT.NICE enthält.Das selbst entpackende Archiv soll den Windows-7-RC-Build sowie die ausführbaren Dateien Setup.exe und Codec.exe enthalten. Letztere identifizierte Trend Micro als die eigentliche Schadware, die sich automatisch installiert, wenn man das Setup ausführt.

Der momentan als wenig riskant eingestufte und als TROJ_DLOADR.TXWQ bezeichnete Trojaner infiziert die Windows-Betriebssysteme 98, ME, NT, 2000, XP und Server 2003. Er erzeugt die Datei vbruntime.tmp im Temp-Verzeichnis des angemeldeten Nutzers und tarnt sie durch Setzen des Dateidatums auf den 27. April 2003 als alte Systemdatei. Details zu Schadfunktionen sind noch nicht zu finden; dennoch stuft Trend Micro das Schadenspotenzial als “mittel” ein.

Joe Williams – als General Manager von Microsofts Abteilung Worldwide Genuine Windows Vorkämpfer gegen “Software-Piraterie” – erklärte beiläufig in einem Interview mit Microsofts Presseabteilung zu den Antipiraterie-Maßnahmen in Windows 7, dass er in den letzten Tagen bereits Berichte über gefälschte Installationspakete erhalten habe, die dazu gedacht seien, Kunden-PCs mit Malware zu infizieren. Williams betont, wie wichtig es sei, die Software aus einer vertrauenswürdigen Quelle zu beziehen.

BitDefender, ein Anbieter von Internet-Sicherheitssoftware, warnt vor einer neuen Trojaner-Angriffswelle, bei der Kriminelle es gezielt auf Online-Banking-Passwörter abgesehen haben.

Bei dieser neuen Bedrohung aus dem Internet handelt es sich laut BitDefender um das Schadprogramm „Trojan.PWS.Chromelnject.A“, einen Trojaner, der sich als Plug-in für den Internetbrowser „Firefox“ tarnt. Das heimtückische Programm wird in einem Firefox-Unterorder gespeichert und bei jedem Start des Browsers automatisch ausgeführt.

Trojan.PWS.ChromeInject.A hat es gezielt auf die Zugangsdaten abgesehen, die beim Internet-Banking an das jeweilige Finanzinstitut übermittelt werden. Betroffen von der Spionageattacke seien derzeit mehr als 100 Banking-Seiten, unter anderem „bankofamerica.com“, „chase.com“, „wachovia.com“ und „paypal.com“. Computersysteme von Benutzern, die sich mit dem Trojaner infiziert haben, senden ihre sensiblen Daten ungewollt an einen Rechner in Russland – ein Indiz für den Ursprung der Bedrohung. BitDefender geht davon aus, dass sich die Gefahr kurzfristig auch auf Online-Banking-Nutzer deutscher Banken ausweitet.