90954

StudiVZ-Toolbar im Malware-Bundle

11.02.2009 | 15:35 Uhr |

Ein manipuliertes Installationsprogramm für die StudiVZ-Toolbar richtet nicht nur dieses legitime Zusatzprogramm für den Internet Explorer ein sondern auch ein schwer aufspürbares Spionageprogramm.

Update (13.2.): StudiVZ hat sich gegenüber der PC-WELT wie folgt zu diesem Thema geäußert: "Da studiVZ selber kein Anbieter von Toolbars ist, mit keinem Toolbar-Betreiber kooperiert oder solche bewirbt, raten wir unseren Nutzern dringend davon ab, Toolbars zu installieren, die mit dem Namen studiVZ werben. Um Sicherheitsprobleme zu vermeiden, raten wir unseren Mitgliedern den reguläre Weg zu gehen, d.h. mit einem Webbrowser direkt unsere Netzwerke zu besuchen.“

Manche Anwender haben bereits so viele Symbolleisten im Browser installiert, dass kaum noch Platz für die Inhalte der besuchten Web-Seiten bleibt. Selbst eingefleischte Toolbar-Fans sollten jedoch auf dieses manipulierte Exemplar verzichten, vor dem der Antivirushersteller McAfee derzeit warnt. Es handelt sich um ein Trojanisches Pferd, eine Kombination aus StudiVZ-Toolbar und Backdoor.

Dennis Elser berichtet im Blog der McAfee Avert Lab s über einen Malware-Angriff mit regionalem Bezug. Er zielt auf deutsche Internet-Nutzer, genauer gesagt auf Nutzer des sozialen Netzwerks StudiVZ. Ein manipuliertes Setup-Programm für die StudiVZ-Toolbar installiert neben diesem Programm heimlich auch einen Schädling, der auf mehreren Wegen Daten ausspionieren soll.

Wird das Programm gestartet, beginnt die Installation der Toolbar ohne weitere Auffälligkeiten. Der von McAfee als Variante des Trojanischen Pferds Backdoor-CEP erkannte Schädling verhält sich passiv, wenn bestimmte Sicherheitsprogramme laufen oder er in einer virtuellen Maschine ausgeführt wird. Andernfalls injiziert das Setup-Programm den Code des Schädlings in laufende Prozesse. Alternativ startet es einen legitimen Prozess im Ruhezustand, manipuliert dessen Code im Arbeitsspeicher und setzt seine Ausführung dann fort.

Auf diese Weise ist der Schädling nur schwer zu entdecken, denn er wird nie als Datei auf die Festplatte geschrieben. Ist die Toolbar installiert, startet sogleich der Internet Explorer und ruft die Website von StudiVZ auf. Mitglieder des Netzwerks werden sich, so jedenfalls die Erwartung des Angreifers, gleich bei StudiVZ anmelden. So kann der Schädling die Anmeldedaten abgreifen, indem er die Tastatureingaben protokolliert. Die ausgespähten Daten werden an einen Server in Deutschland übertragen.

Laden Sie sich Software jeglicher Art nur von absolut vertrauenswürdigen Quellen herunter. Die StudiVZ-Toolbar erhalten Sie hier beim Hersteller .

0 Kommentare zu diesem Artikel
90954