Neuer Trojaner WebMoney spioniert Online-Banking-Informationen aus

(PresseBox) (München, ) WebMoney, eine neuer Trojaner, verbreitet sich weltweit in Windeseile. Er ist in der Lage Daten auszuspionieren, die Nutzer in besonders geschützten Bereichen (HTTPS-Verbindungen) bei Banken eingeben. So können Passwörter gestohlen und z.B. für das Leerräumen von Konten verwendet werden. Der Trojaner mit der genauen Bezeichnung PWS-WebMoney.gen installiert sich eigenständig bei Nutzung des Internet Explorers als BHO (Browser Helper Object). Ein BHO ist eine DLL-Datei (Dynamic Link Library, eine Bibliothek ausführbarer Funktionen oder Dateien), das geladen wird, wenn ein Browser gestartet wird. Ein BHO kann quasi uneingeschränkte Operationen ausführen. In vielen Fällen werden BHOs automatisch von schadhaften ActiveX-Controls oder anderen Features des Internet Explorers installiert um ein Installationsprogramm zu starten.

Durch ein Pop-up-Fenster der Webseite www4.yesadvertising.com wird der Nutzer automatisch auf die gefährliche Website www.eva.ee geleitet. Diese Seite nutzt eine bekannte Schwachstelle des Internet Explorers aus, indem eine .chm-Datei geladen und ausgeführt wird. Dann wird von der "eva"-Seite das photos.php Script der Seite www.mymaydayinc.com ausgeführt, indem der iframe-Tag (der HTML-Befehl für eingebettete Frames) dem Browser eine HTML-Datei sendet, die eine GIF-Datei mit dem Namen img1big.gif enthält. Diese GIF-Datei besteht allerdings in Wahrheit aus zwei Win32-Executables, die mit dem Open Source-Kompressor UPX komprimiert wurden. UPX und andere so genannte Packer sowie Binder (der Verbinder zwischen Library und Executable) werden oft benutzt um signaturbasierte Anti-Virus-Software zu umgehen. Die .chm-Datei bennent sich um und führt danach "img1big.gif" auf dem Desktop aus. Dafür kreiert und installiert sie eine BHO-Datei im Internet Explorer. Wenn der Nutzer nun eine vordefinierte Liste von Banking-Webseiten aufruft und sich einer HTTPS-Verbindung bedient, kann das BHO mittels Keylogging (also der Verfolgung der Tastenkombinationen) ausspionieren, was der Nutzer eingibt. Das Keylogging wird durchgeführt, bevor die Daten SSL-kodiert wurden, also während sie noch ungeschützt sind. Die gestohlenen Informationen werden auf der Seite www.refestltd.com mittels eines Perl-Skripts verarbeitet.

Signaturbasierte Anti-Virus-Lösungen kann WebMoney über die Nutzung von UPX umgehen. Gegen Angriffe dieser Art sind IT-Sicherheitskonzepte, die das Verhalten schädlichen Codes analysieren, bevor er zur Ausführung kommt, besser geeignet. Finjans Vital Security Suite schützt vor WebMoney und anderen Angreifern, indem Aktive Inhalte, Skripte, Prozesse und Anwendungen routinemäßig untersucht werden. Hierfür kommt die Sandbox-Technologie zum Einsatz, die das Verhalten des Codes in einer abgetrennten Umgebung analysiert.

Finjan stellt in seinem Research-Center die Möglichkeit zur Verfügung, den eigenen Rechner auf schädlichen Code zu überprüfen: http://www.finjan.com/...

Kontakt

Finjan Software GmbH
Alte Landstrasse 27
D-85521 Ottobrunn
Social Media