Pokerspieler Opfer von Rootkits: Online-Tool "RBCalc.exe" enthält Backdoor-Trojaner

Malware-Autoren finden ein neues Betätigungsfeld

(29.05.06) - Ein Bluff kann Online-Pokerspielern das Geld aus der Tasche ziehen: Das auf der Spiel-Site Comraised.com angebotene Online-Tool "RBCalc.exe" enthält einen Backdoor-Trojaner. Das Schleusenprogramm archiviert unbemerkt Spielerdaten mit der Absicht eines potenziellen Diebstahls. Blacklight, die Rootkit-Erkennungstechnologie von F-Secure, hat das Programm jedoch frühzeitig entlarvt. Rootkits werden von Malware-Autoren missbraucht, um bösartige Software zu tarnen.

Der Backdoor-Trojaner konnte heimlich vier ausführbare Dateien ablegen, mit Hilfe eines Rootkit-Treibers wurde die Aktion auf den Rechnern verschleiert. Auf diese Weise konnte der Autor des Tools Anmeldeinformationen für verschiedene Online-Poker-Sites wie Partypoker, Empirepoker, Eurobetpoker und Pokernow abrufen. Mit diesem Daten-Zugriff wäre er in der Lage gewesen, gegen sich selbst zu pokern, absichtlich zu verlieren und die Gewinne einzukassieren.

Kurz nach der Entdeckung des Trojaners entfernte Checkraised.com die betroffenen Exe-Dateien von der eigenen Website und gab dort ein offizielles Statement ab: Die Anwender wurden aufge-fordert, ihre bisherigen Kennworte für die Poker-Site zu ändern. Darüber hinaus erhielten die Anwender eine Anleitung für die manuelle Entfernung der Malware.

Kimm Kasslin, Forscher des F-Secure Datensicherheits-Labors, sagt über den Backdoor-Trojaner: "Beobachtet man das steigende Interesse am Online-Poker ist es unvermeidlich, dass Malware-Autoren hier ein neues Betätigungsfeld finden. Sie ziehen den Spielern mit immer wieder neu angepassten Programmen das Geld aus der Tasche. Bezeichnend ist es, dass dieses spezielle Scam, wenn auch unwissentlich, auf einer legitimen Site beherbergt und dessen Vorhandensein mit Rootkit-Mechanismen verschleiert wurde."

Kasslin erläutert weiter: "Malware-Autoren gewinnen zunehmend Wissen über die Funktionsweise der Standardmechanismen, die in Virenschutz- und Intrusion-Detection-Systemen eingesetzt werden und suchen ständig nach neuen Sicherheitslücken und Wegen, diese für ihre Zwecke auszunutzen. Der Einsatz von Standard-Sicherheitssoftware hätte die Anwender nicht vor diesem Rootkit-Exploit geschützt." F-Secure rät allen Anwendern, die diese Binärdateien von Check-raised.com heruntergeladen und ausgeführt haben, ihre Systeme umgehend auf eine potenzielle Infizierung zu prüfen. (F-Secure: ra)