Falsche Telekom-Rechnung installiert Rootkit
Eine neuere Variante des Trojanischen Pferds lädt sich zur Tarnung ein Rootkit herunter.
Gestern wurden weitere, neue Varianten eines Schädlings verbreitet, über den wir bereits am Montag berichteten. Neben einer leicht modifizierten Fassung ist darunter auch eine gänzlich andere Version, die sich mit einem Rootkit tarnt.
Zunächst wurde eine modifizierte Variante verbreitet, die offenkundig nur die inzwischen aktualisierten Virensignaturen von Antivirus-Programmen umgehen sollte. Später kam dann eine neue Fassung in Umlauf, die mehrere Rootkits installiert. Diese dienen dazu, das eigentliche Trojanische Pferd vor den Augen des Anwenders und vor Antivirus-Programmen zu verbergen.
Die Mail, mit der diese Version des Schädlings verbreitet wird, unterscheidet sich nicht signifikant von bisherigen Beispielen. Es wird einem Betreff wie "Telekom Rechnung" der übliche Text verschickt, der eine relativ hohe Summe nennt, im vorliegenden Beispiel sind es 628,97 Euro. Das soll den Empfänger der Mail veranlassen den Anhang zu öffnen, der als "rechnung.pdf.exe" angefügt ist.
Wird die Datei vom Benutzer geöffnet, installiert der Schädling ein Rootkit, das auch den Einsatz von Anti-Rootkit-Programmen wie F-Secure Blacklight verhindern soll. Dieses Rootkit ist bereits in der Datei enthalten, die per Mail verschickt wird. So meldet AntiVir bei der "rechnung.pdf.exe" den Schädling "TR/Dldr.TcomB.I.1.B", während Kaspersky-basierte Virenscanner "Backdoor.Win32.Haxdoor.es" melden. "Haxdoor" bezeichnet eine Familie von Rootkit-Varianten, die auch als "Hacker Defender" bekannt ist.
Mit einem weiteren Rootkit aus dieser Familie wird ein Key-Logger namens "Goldun" getarnt, der Eingaben in Online-Formulare von "E-Gold" protokolliert, einem Online-Bezahlsystem. Ferner werden unter Dateinamen wie "tBmp207.exe", "tBmp307.exe", "TheBat!7.51.256.exe" oder "NAV_updates__05.exe" Kopien dieses Key-Loggers angelegt.
Die meisten der schädlichen Dateien werden von vielen Virenscannern erkannt, es gibt jedoch auch einige Lücken in der Erkennung, so unter anderem bei McAfee, AVG, F-Prot und Trend Micro. Diese Lücken dürften jedoch mit den nächsten Updates geschlossen werden.
