Malware greift durch eine Kette von selbstauslösenden Downloads auf Bankkonten zu
Archivmeldung vom 28.03.2012
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 28.03.2012 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittEine Malware, die nach dem Domino-Prinzip angreift: Der erste umgestoßene Stein löst eine unaufhaltsame Kettenreaktion aus. Virus-Analysten von Bitdefender identifizierten eine Malware, die genau nach diesem Schema vorgeht. Der neue „Domino-Trojaner“ setzt eine Kette von automatisierten Downloads frei, während er versucht, die Antiviren-Software zu umgehen. Die Folge: Den „Cyberkriminellen“ ist es möglich, auf die Bankkonten der angegriffenen User zuzugreifen.
Die Internetnutzer sehen sich immer komplexeren Bedrohungen ausgesetzt. Insbesondere auf die Passwörter von Online-Banking-Konten haben es kriminelle Malware-Autoren häufig abgesehen. Den aktuell im Umlauf befindlichen Trojaner identifizierte Bitdefender unter dem Namen Trojan.Downloader.Java.OpenConnection.BA. Dieser Schädling löst über komplizierte Umwege einen Serverbefall aus. Seine Herkunft ist daher für eine herkömmliche Antivirensoftware in der Regel nur schwer nachzuvollziehen.
Trojaner startet Kettenreaktion
Die Kettenreaktion startet mit der Infektion des Rechners mittels Java Applets, die sich auf diversen populären Internetseiten verstecken. Getarnt als Adobe Flash Player, fügen sie zu sauberen HTML-Dateien ihre bösartigen HTMLs hinzu. Dieser von den „Cyber-Betrügern“ angefügte Hypertext infiziert den Server der Webseitennutzer mit dem Trojaner. Das Applet lädt anschließend die Datei Trojan.Generic.KD.218227 auf den Rechner herunter. Sie wird dort unter dem Namen temp_flash_file.phx gespeichert. Die beim Nutzer platzierte Datei downloadet und installiert einen Banker-Trojaner. Dessen Haupteigenschaft ist es, Kennwörter für Web-Banking zu stehlen. Die Kriminellen haben dann freien Zugriff auf die Bankkonten der Nutzer. Der Banker-Trojaner stellt sich für den User als Login-Fenster dar und bittet ihn, seine Daten anzugeben. Die persönlichen Eingaben werden anschließend von den Betrügern an einen C&C Server gesendet und eventuell für weitere Malware-Angriffe benutzt. Der besagte Banker erstellt im Ordner „%Start Menu%\Programs\Startup“ eine Verknüpfung zu sich selbst. Durch diese wird der Trojaner bei jedem Boot automatisch gestartet. Darüber hinaus arbeitet er mit einprogrammierten Listen, die ihm mitteilen, welche „digitalen Schadstoffe“ als nächstes zu laden sind.
Um diese Art des Trojaner-Befalls zu vermeiden, ist der Einsatz einer professionellen, sich automatisch aktualisierenden Antiviren-Lösung inklusive Firewall notwendig.
Quelle: Bitdefender GmbH