Rubrik: Produkt/Intrusion Detection

Trojaner wurde zum Diebstahl von Bankdaten entwickelt

Safe'n'Sec wehrt diese Trojaner-Attacke ab

(25.04.06) - Anfang April entdeckte Kaspersky Lab den ersten Trojaner, der zum Diebstahl von Bankdaten entwickelt wurde: "Trojan-PSW.Win32.Agent.ew". Die Entwickler der proaktiven PC-Schutz-Software "Safe’n’Sec" von StarForce analysierten das Verhalten des Trojaners und kamen zu folgendem Ergebnis: Safe’n’Sec wehrt diese Trojaner-Attacke ab.

Anzeige

Trojan-PSW.Win32.Agent.ew drang in das Netzwerk der holländischen Bank "De Postbank" ein, die als letzte Großbank des Landes noch TAN-Codes verwendet. Bei der Entwicklung von Auftrags-Malware lässt sich eine neue Tendenz feststellen: Cyber-Diebe sind vom Phishing zu Trojaner-Programmen übergegangen.

Die Familie der PSW-Trojaner (Password-Stealing Ware) stiehlt über das Systemkennwort verschiedene Daten vom infizierten PC. Nach dem Download der Malware sucht diese nach Systemdateien mit vertraulichem Inhalt, wie beispielsweise Telefonnummern, Kennwörter für den Internetzugang usw. Die ermittelten Daten werden an eine E-Mail-Adresse gesendet, die im Code des Trojaners gespeichert ist.

Seine schädliche Arbeit beginnt Trojan-PSW.Win32.Agent.ew, indem er den Internet Explorer in die Ausnahmeliste der Windows-Firewall schreibt.

Hierzu erstellt er einen Registrierungsschlüssel:

/REGISTRY/MACHINE/SYSTEM/CONTROLSET001/SERVICES/SHAREDACCESS/

PARAMETERS/FIREWALLPOLICY/STANDARDPROFILE/AUTHORIZEDAPPLICATIONS/
LIST/C:/PROGRAMFILES/INTERNET EXPLORER/IEXPLORE.EXE.

Alle technischen Daten des Trojaners werden in eigens erstellten Registrierungsschlüsseln gespeichert. Mit der Schlüsselerstellung registriert Trojan-PSW.Win32.Agent.ew ein Internet Explorer-BHO (Browser Helper Object) unter dem Namen „Software Installation Snapin Extenstion“ und fügt dann BHO-Erweiterungen hinzu. Bei der Generierung der DLL-Datei C:/WINDOWS/system32/msnscps.dll tarnt sich das Programm als folgende Systemdatei:

Product version: 5.1.2600.2180

File version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

Internal name: Software Installation Snapin Extenstion

Product name: Microsoft® Windows® Operating System

Publisher: Microsoft Corporation

Anschließend beginnt der Trojaner, vertrauliche Daten zu sammeln und sie an den betreffenden Kunden zu schicken.

Trojan-PSW.Win32.Agent.ew stellt nach Angaben des Herstellers keine Gefahr für einen mit Safe'n'Sec geschützten Computer dar, da Safe’n’Sec nach der Analyse des Trojaner-Verhaltens die Änderung der Systemdateien und das Anhängen von BHO-Erweiterungen verhindert.
(StarForce: ra)
 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken