144672

Den Trojanischen Rechnungen auf der Spur

23.02.2007 | 15:16 Uhr |

Die Rückverfolgung der diversen Rechnungs-Mails mit Trojanischen Pferden im Gepäck führt zu einem Server in Deutschland, auf dem Daten über etliche tausend verseuchte Rechner gespeichert sind.

Insbesondere seit Anfang dieses Jahres werden täglich wechselnde Mails mit vorgeblichen Rechnungen irgendeines Unternehmens Spam-artig verbreitet. Das Spektrum vorgeblicher Absender reicht von 1&1 und Amazon über die GEZ und Ikea bis zu fiktiven Zigarettenhändlern. Der bunte Strauß wird durch vorgebliche Mails vom BKA getoppt, die vorführen, wie Social Engineering zur Verbreitung von Malware funktioniert.

Vinoo Thomas von McAfee Avert Labs beschreibt im Weblog der Virenforscher , was hinter den Kulissen dieser Schädlingsepidemie vor sich geht. Ist ein PC mit einem der Schädlinge aus der Familie " Downloader-AAP ", wie sie bei McAfee genannt wird, verseucht, ermittelt dieser die aktuelle IP-Adresse des Rechners. Diese meldet er an einen bei einem der größten Web-Provider in Deutschland stehenden Server, möglicherweise an einen von mehreren.

Der von Vinoo Thomas gefundene und untersuchte Server enthält eine Verzeichnisstruktur, die für jedes Land einen eigenen Ordner aufweist - 95 insgesamt, von "AE" für die Vereinten Arabischen Emirate über "DE" für Deutschland bis "ZW" für Sambia. Das Geschäft scheint wohl gut zu laufen. Im Ordner für Deutschland finden sich zahlreiche Unterordner, je einer pro verseuchten PC. Die Ordner enthalten Textdateien mit ausspionierten Passwörtern, zum Beispiel Zugangsdaten für Ebay.

Die Methode der Malware-Verbreitung beginnt mit der Suche nach anfälligen Unix-/Linux-Systemen im Internet, auf denen ein Apache Web-Server läuft. Diese werden mit Malware bestückt, die von den per Mail verbreiteten Download-Programmen ("Trojan-Downloader") herunter geladen werden. Wird ein derart missbrauchter Web-Server vom Netz genommen, kann er leicht wieder durch einen anderen ersetzt werden.

Nachdem es nun gelungen zu sein scheint, Zugang zu einem Server zu erhalten, auf dem die ausgespähten Daten gelagert werden, sind Ermittlern auch Hinweise auf die Täter in die Hände gefallen. Das gibt Anlass zur Hoffnung, dass der Spuk bald ein Ende haben könnte.

0 Kommentare zu diesem Artikel
144672