73738

Falscher FIFA-Spielplan mit Rootkit

04.05.2006 | 09:32 Uhr |

Was als angebliche Excel-Datei mit einem WM-Spielplan dargeboten wird, ist tatsächlich ein Trojanisches Pferd.

Das Landeskriminalamt (LKA) Baden-Württemberg warnt vor Mails, in denen ein Link zu einem angeblichen FIFA-Spielplan für die Fußball-WM enthalten ist. Der Link führt zu einem Web-Server in den USA, wo eine EXE-Datei liegt, die ein Trojanisches Pferd enthält.

Die Spam-artig verbreiteten Mails tragen einen Betreff wie "Fußball Weltmeisterschaft 2006", "Spielplan und Spieltermine bei der FIFA Fussball WM 2006" oder auch "WM 2006 Spielplan - nach Stadten / Stadien". Im Text der Mail wird behauptet, die verknüpfte Datei sei eine selbstauspackende Excel-Datei. Der gleiche Link wurde bereits ein paar Tage zuvor in Mails mit einem Betreff wie "Earn money with help of Google.com" verbreitet.

Durch Anklicken des Links wird eine Datei namens "googlebook.exe" (54 KB) herunter geladen. Wird die Datei aufgerufen, installiert sich ein Rootkit aus der "Haxdoor"-Familie. Dieses dient zur Tarnung eines Spionage-Programms, das Anmeldedaten protokolliert, die ein Benutzer auf Web-Seiten, vorzugsweise denen von Banken, eingibt.

Es handelt sich dabei um einen so genannten "Form-Grabber". Es werden also nicht wie bei herkömmlichen Key-Loggern Tastaturanschläge aufgezeichnet sondern über ein installiertes Browser-Add-on (Browser Helper Object, BHO) die abgeschickten Formulardaten gelesen.

Mittlerweile erkennen fast alle Antivirus-Programme den Schädling an dem enthaltenen Rootkit:

Antivirus

Malware-Name

AntiVir

BDS/Haxdoor.IN

Avast!

Win32:Haxdoor-BT

AVG

BackDoor.Haxdoor.CK

BitDefender

Backdoor.Haxdoor.II

ClamAV

-/-

Command AV

W32/Goldun.FH

Dr Web

BackDoor.Haxdoor.268

eSafe

Trojan/Worm [100]

eTrust-INO

Win32/Haxdoor.AO!Trojan

eTrust-VET

Win32/Haxdoor!generic

Ewido

Backdoor.Haxdoor.in

F-Prot

W32/Goldun.FH

F-Secure

Backdoor.Win32.Haxdoor.in

Fortinet

W32/Haxdoor.IN!tr.bdr

Ikarus

Backdoor.Win32.Haxdoor.in

Kaspersky

Backdoor.Win32.Haxdoor.in

McAfee

Generic BackDoor.bb

Microsoft

-/-

Nod32

Win32/Haxdoor

Norman

W32/Haxdoor.AEI

Panda

Bck/Haxdoor.KV

Quickheal

Backdoor.Haxdoor.in

Sophos

Troj/Haxdoor-IN

Symantec

Backdoor.Haxdoor.J

Trend Micro

BKDR_HAXDOOR.GM

VBA32

Backdoor.Win32.Haxdoor.in

Virusbuster

Backdoor.Haxdoor.HG


Quelle: AV-Test , Stand: 03.05.06, 20:00 Uhr

0 Kommentare zu diesem Artikel
73738