Rubrik: Virenwarnung/Aktuelle Meldungen

Finjan: Neuer Trojaner "WebMoney" spioniert Online-Banking-Informationen aus

Durch ein Pop-up-Fenster wird der Nutzer automatisch auf die gefährliche Website geleitet

(11.07.04) - "WebMoney", eine neuer Trojaner, verbreitet sich weltweit in Windeseile. Er ist in der Lage Daten auszuspionieren, die Nutzer in besonders geschützten Bereichen (HTTPS-Verbindungen) bei Banken eingeben. So können Passwörter gestohlen und z.B. für das Leerräumen von Konten verwendet werden. Der Trojaner mit der genauen Bezeichnung "PWS-WebMoney.gen" installiert sich eigenständig bei Nutzung des Internet Explorers als BHO (Browser Helper Object). Ein BHO ist eine DLL-Datei (Dynamic Link Library, eine Bibliothek ausführbarer Funktionen oder Dateien), das geladen wird, wenn ein Browser gestartet wird. Ein BHO kann quasi uneingeschränkte Operationen ausführen. In vielen Fällen werden BHOs automatisch von schadhaften ActiveX-Controls oder anderen Features des Internet Explorers installiert um ein Installationsprogramm zu starten.

Durch ein Pop-up-Fenster der Web-Seite www4.yesadvertising.com wird der Nutzer automatisch auf die gefährliche Website geleitet. Diese Seite nutzt eine bekannte Schwachstelle des Internet Explorers aus, indem eine .chm-Datei geladen und ausgeführt wird. Dann wird von der "eva"-Seite das photos.php Script der Seite ausgeführt, indem der iframe-Tag (der HTML-Befehl für eingebettete Frames) dem Browser eine HTML-Datei sendet, die eine GIF-Datei mit dem Namen img1big.gif enthält. Diese GIF-Datei besteht allerdings in Wahrheit aus zwei Win32-Executables, die mit dem Open Source-Kompressor UPX komprimiert wurden. UPX und andere so genannte Packer sowie Binder (der Verbinder zwischen Library und Executable) werden oft benutzt um signaturbasierte Antivirus-Software zu umgehen. Die .chm-Datei benennt sich um und führt danach "img1big.gif" auf dem Desktop aus. Dafür kreiert und installiert sie eine BHO-Datei im Internet Explorer. Wenn der Nutzer nun eine vordefinierte Liste von Banking-Web-Seiten aufruft und sich einer HTTPS-Verbindung bedient, kann das BHO mittels Keylogging (also der Verfolgung der Tastenkombinationen) ausspionieren, was der Nutzer eingibt. Das Keylogging wird durchgeführt, bevor die Daten SSL-kodiert wurden, also während sie noch ungeschützt sind. Die gestohlenen Informationen werden auf der Seite mittels eines Perl-Skripts verarbeitet.

Signaturbasierte Antivirus-Lösungen kann WebMoney über die Nutzung von UPX umgehen. Gegen Angriffe dieser Art sind IT-Sicherheitskonzepte, die das Verhalten schädlichen Codes analysieren, bevor er zur Ausführung kommt, besser geeignet. Die Lösung Vital Security Suite von Finjan Software schützt vor WebMoney und anderen Angreifern, indem Aktive Inhalte, Skripte, Prozesse und Anwendungen routinemäßig untersucht werden. Hierfür kommt die Sandbox-Technologie zum Einsatz, die das Verhalten des Codes in einer abgetrennten Umgebung analysiert.

Finjan stellt in ihrem Research-Center die Möglichkeit zur Verfügung, den eigenen Rechner auf schädlichen Code zu überprüfen. (ma)

Finjan Software

Milbanke CourtMilbanke Way

GB-Bracknell, Berkshire RG12 1RP

Kontakt: Alison Sambrook

Tel. (0044-1344) 427127, Fax (0044-1344) 425492

E-Mail: alison@finjan.com

Web: www.finjan.com