Aladdin warnt eBay-Kunden vor Betrugsversuchen über den Trojaner "Feebs"

Neue JS.Feebs-Variante verschafft sich Zugang zu persönlichen Daten

(14.02.06) - Das Content Security Response Team von Aladdin Knowledge Systems hat eine neue Variante des Trojaners JS.Feebs identifiziert, der sich über eine modifizierte "Pharming"-Methode Zugang zu persönlichen Daten verschafft.

Kommt es zur Ausführung der neuen JS.Feebs-Variante, erscheint auf dem Bildschirm meist eine gefälschte Eingabemaske, die populären Suchmaschinen nachempfunden ist. Daraufhin folgt eine Fehlermeldung, in der steht, dass die Verbindung fehlgeschlagen ist. Die Skripte innerhalb des schädlichen Programmcodes führen diese Schritte aus, um von den eigentlichen Aktivitäten abzulenken. Dazu kann auch das Deaktivieren von Antivirus- und anderer Sicherheitssoftware zählen, ebenso wie die Ausführung von schädlichem Programmcode. JS.Feebs erreicht die Empfänger in der Regel über E-Mails, die von infizierten Adressen stammen. Der Trojaner kann aber auch auf bestimmten Websites versteckt sein. Besucht ein Benutzer eine dieser Websites, wird sein Rechner auch infiziert.

Das Vorgehen der neuen JS.Feebs-Variante entspricht dem klassischen Pharming-Schema, allerdings auf lokale Rechner bezogen. Hier kommt keine Phishing-Mail (z.B. gefälschte Mitteilung einer Bank) zum Einsatz und auch kein Link, der angeklickt werden kann. Ist der Rechner aber über eine infizierte E-Mail oder nach dem Besuch einer infizierten Website befallen, verrichtet der Trojaner sein Werk der Datenspionage. Dabei wird bei den Netzwerkeinstellungen die lokale HOSTS-Datei so modifiziert, dass die Standard-DNS-Server überschrieben werden. Dies führt dazu, dass bei Anklicken beliebter Websites wie etwa eBay auf eine "gespoofte", also falsche eBay-Website weitergeleitet wird. Auch wenn die Verbreitung des neuen Trojaners recht langsam erfolgt, ist das Bedrohungspotenzial hoch, da hier gezielt persönliche Daten ausspioniert werden.
(Aladdin: ma)