News 13.11.2006, 12:30 Uhr

Credit Suisse Bankraub-News als Masche zum Verbreiten von Trojanern

Davon werden weder die Credit Suisse noch die Betreiber des N24-Newsdienstes begeistert sein: Ein Missetäter missbraucht deren Namen zum Verbreiten eines trojanischen Pferdes.
Die bei uns seit Sonntag-Abend eintreffenden Mails tragen Betreffzeilen wie "N-24: Schweiz unter Schock, Zuricher Credit-Suisse ausgeraubt" oder "Grosster Raububerfall in der Weltgeschichte, Zuricher Credit-Suisse ausgeraubt". Mit diesen versucht ein Schädlingsschreiber den PC-Anwendern ein Trojanisches Pferd unterzujubeln.
Wie im Mailbetreff angedeutet, spricht die Mail auch im Text vom angeblich grössten Bankraub aller Zeiten:Die Mail selber enthält zwar keine Beilagen, bietet jedoch einen Link zu einem angeblichen PDF-File an, unter dem man weitere Informationen nachlesen könne:Verharrt man aber in der Mail per Mauszeiger über dem Link, ist zu erkennen, dass er nicht zu einem PDF-Dokument führt, sondern zu einer Datei mit Endung EXE. Das bedeutet, dass es ein unter Windows ausführbares Programm ist. Und in einem solchen kann wirklich alles stecken, vom Virus, über ein Rootkit, bis zu einem Trojaner.
Ein Exemplar der Datei haben wir heruntergeladen und beim Online-Scandienst Virustotal [1] eingeworfen. Einige der dort eingebundenen Virenscanner konnten in der Datei bereits am Sonntag-Abend Unfeines finden:
AntiVir 7.2.0.39: TR/Spy.Agent.SD
Authentium 4.93.8: W32/Goldun.gen1@dr
BitDefender 7.2: Trojan.Spy.Goldun.HO
ClamAV devel-20060426: Trojan.Downloader.Small-2338
F-Prot 3.16f: W32/Goldun.gen1@dr
McAfee 4893: Spy-Agent.ba
NOD32v2 1862: probably a variant of Win32/Spy.BZub
Panda 9.0.0.4: Suspicious file
Sophos 4.11.0: Troj/Cimuz-Gen
Die Schädlingsbezeichnungen deuten darauf hin, dass es sich um ein Trojanisches Pferd handelt, das den Nutzer ausspioniert und weitere schädliche Dateien aus dem Internet herunterlädt. Wir gehen davon aus, dass in Kürze auch weitere Antivirus-Hersteller die Signaturen aktualisieren, damit auch deren Produkte den Schädling baldmöglichst einwandfrei erkennt.
Falls Sie solche Mails erhalten, klicken Sie bitte nicht auf die Links. Seien Sie bei Mails bitte generell sehr vorsichtig, gerade was das Anklicken von Beilagen und Links betrifft.
***NEWS-UPDATE vom 13.11.2006, 12:45 Uhr:***
Wir haben ein Exemplar des Schädlings zwecks Analyse an verschiedene Antivirus-Hersteller geschickt. Von F-Secure [2] erhielten wir folgende Information: Beim besagten Trojaner handelt es sich um eine neue Variante von BZub [3]. In der vorliegenden Version schnüffelt der Schädling Login-Daten von bestimmten Online-Banken und Bezahldiensten aus, sowie auch von verschiedenen Anwendungen. Betroffen sind folgende:
Banken/Bezahldienste: Barclays, E-Gold, Intelligent Finance, Nationwide's Internet Bank und Postbank.
Aus Anwendungen: HTTP-Mail-Benutzernamen und Passwörter, Daten aus der Internet-Explorer-Funktion "Autovervollständigen" und aus "Geschützter Speicher", aus den Anmeldedaten des MSN Explorers sowie Zugangsdaten (Passwörter, Servernamen usw.) aus Outlook-Mailkonten.


Kommentare

Es sind keine Kommentare vorhanden.