Heimliche Fernsteuerung
Mehr als eine eBay-Toolbar
Ein Installationsprogramm für eine eBay-Toolbar liefert mehr als auf dem Etikett steht. Neben der Toolbar installiert es auch eine verdeckte Fernsteuerung, über die ein Angreifer den PC vollständig unter Kontrolle hat.
Der Antivirushersteller McAfee ist auf ein Installationsprogramm mit heimlichen Zusatzfunktionen gestoßen. Es installiert zwar auch die echte eBay-Toolbar, aber ohne für den Anwender erkennbare Anzeichen wird auch ein Zugang für einen Terminaldienst geöffnet. Über diesen kann der Rechner mit Administratorrechten ferngesteuert werden.
Wie Malware-Forscher Di Tian im McAfee Avert Blog berichtet, hat McAfee eine Datei namens "ToolbarSetup.exe" von einem Kunden erhalten. Wird das Programm aufgerufen, präsentiert es eine Lizenzvereinbarung (EULA) für die eBay-Toolbar und installiert diese dann auch.
Neben dem Prozess zur Installation der Toolbar wird jedoch auch noch der Windows Scripting Host (Wscript.exe) gestartet, der einige neu angelegte VBS-Dateien (Visual Basic Script) ausführt. Eines dieser Scripte legt ein neues Benutzerkonto namens "eBayMember" mitsamt Passwort an. Dieses wird der Gruppe der Administrator hinzugefügt und erhält zudem Remote-Access-Rechte, kann also über den Terminaldienst auf den Rechner zugreifen. Dazu wird der TCP-Port 3389 geöffnet, der Standard-Port für den Terminaldienst.
Wer immer sich auf diesem Wege Zugriff auf den verseuchten Rechner verschafft, hat dadurch die volle Kontrolle über den PC. Er kann zum Beispiel weitere Programme installieren, Sicherheitseinstellungen herab setzen, Antivirus-Software deinstallieren, Dateien und persönliche Daten kopieren oder Mails versenden.
Dieses Beispiel führt Di Tian zu der Empfehlung Browser-Toolbars und andere Software - wenn überhaupt - nur vom Originalhersteller oder bei absolut vertrauenswürdigen Quellen herunter zu laden. Verdeckte Gratisbeigaben wie eine solche Fernsteuerung oder andere Malware sind sonst nicht auszuschließen.
