100376

Ausspionierte Passwörter per Ping übertragen

09.08.2006 | 16:15 Uhr |

Ein Trojanisches Pferd spioniert Anmeldedaten aus und versendet sie ganz unauffällig.

Ein "ping" ist eigentlich eine recht harmlose Sache. Kaum jemand wird in einem solchen Datenpaket Nutzdaten vermuten. Das Sicherheitsunternehmen Websense berichtet jedoch über ein Trojanisches Pferd, das auf diesem Wege ausspionierte Passwörter an seinen Herrn und Meister übermittelt.

Der Befehl "ping rechner.name" löst einen ICMP Echo Request (Internet Control Message Protocol) aus, den der angesprochene Computer üblicherweise beantwortet. Dadurch kann im einfachsten Fall festgestellt werden, ob dieser Computer im Netzwerk vorhanden ist und auf Anfragen reagiert. Der lautmalerische Name des Befehls ist aus der Sonar-Ortung bei U-Booten entlehnt. Heute werden Firewall-Router jedoch oft so konfiguriert, dass sie ankommende Echo-Anfragen nicht beantworten. Ping-Pakete nach draußen werden eher selten näher untersucht.

Das von Websense untersuchte Trojanische Pferd unterscheidet sich zunächst nicht wesentlich von anderer Phishing-Malware. Es wird mit dem Dateinamen "mydaj.dll" von einem zuvor eingeschleusten Schädling als BHO (Browser Helper Object) für den Internet Explorer installiert und fängt eingegebene Formulardaten ab. Nach der Beschreibung von Trend Micro blendet er eine gefälschte Eingabemaske in das Fenster einer Banken-Website ein, in der auch das Geburtsdatum abgefragt wird.

Der Weg, auf dem der Schädling diese Informationen überträgt, ist allerdings bislang eher ungewöhnlich. Üblich ist eine Übermittlung als HTTP POST (Aufruf eines Scripts auf einem Web-Server), per IRC (Internet Relay Chat) oder per Mail. Dieser Schädling jedoch sendet einen Ping-Befehl. In dessen ICMP-Paket sendet er die primitiv verschlüsselten Informationen als Nutzdaten mit. Der Empfänger kann diese Daten leicht wieder entschlüsseln. Websense hat es mit einer SSL-verschlüsselten Website der Deutschen Bank ausprobiert und die versandten Daten abgefangen.

Die Erkennung durch Antivirus-Software ist recht gut, da der Schädling den Herstellern schon seit zwei Wochen bekannt ist. Detaillierte Beschreibungen sind jedoch dünn gesät.

Antivirus

Malware-Name

AntiVir

DR/Banker.GO

Avast!

-/-

AVG

PSW.Generic2.EFN

BitDefender

Dropped:Trojan.Banker.GO

ClamAV

-/-

Command AV

W32/Banker.UUQ

Dr Web

-/-

eSafe

Win32.Banker.go

eTrust-INO

Win32/Telbankspy.5lc!DLL!Trojan

eTrust-VET

Win32/Teepyoo.A

Ewido

Logger.Small.gg

F-Prot

W32/Banker.UUQ

F-Secure

Trojan-Spy.Win32.Small.gg

Fortinet

W32/Banker.A!phish

Ikarus

Trojan-Spy.Win32.Small.gg

Kaspersky

Trojan-Spy.Win32.Small.gg

McAfee

Generic PWS.x trojan

Microsoft

TrojanSpy:Win32/Wiedreh.A

Nod32

Win32/Spy.Small.GG

Norman

W32/Smalltroj.HJB

Panda

Trj/Banker.DWW

Quickheal

TrojanSpy.Small.gg

Sophos

Troj/Banker-CZC

Symantec

Infostealer

Trend Micro

TSPY_SMALL.CBE

Una

Trojan.Spy.Win32.Small

VBA32

Trojan-Spy.Win32.Small.gg

Virusbuster

TrojanSpy.Wiedreh.A

WebWasher

Trojan.Banker.GO

GData AVK **

Trojan-Spy.Win32.Small.gg


Quelle: AV-Test , Stand: 09.08.2006, 15:00 Uhr
* noch nicht in offiziellen Updates enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

0 Kommentare zu diesem Artikel
100376