117142

Key-Logger in falscher Erotik-Rechnung

20.12.2005 | 16:19 Uhr |

Vorgebliche Rechnungen über Erotik-Angebote enthalten ein Trojanisches Pferd.

Per Mail Spam-artig verschickte falsche Rechnungen folgen einem schon länger zu beobachtenden Trend zur Verbreitung Trojanischer Pferde. Die Mail-Sicherheitsfirma Black Spider Technologies meldet über 200.000 Mails mit dem als "Small-BXP" bezeichneten Schädling.

Die Mails kommen mit einem Betreff wie "Payment receipt" und einem Anhang namens "FILE.965658.exe" (5462 Bytes). Der Text der Mail beginnt mit:

"Dear customer.

Thank you for your subscription to http://www.viewpornstars.com.
You have been billed as Paycom LLC for the amount of:
GBP 24.95 for 30 days then GBP 24.95 recurring every 30 days. [...]"

Einziger Sinn dieses Textes ist es den Empfänger zum Öffnen des virulenten Anhangs zu verleiten. Der Schädling legt dann eine Datei "svchost.dll" im System-Verzeichnis von Windows oder im aktuellen Verzeichnis an. Diese wird mit der ID "{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}" als BHO (Browser Helper Object) im Internet Explorer eingetragen.

Dieses BHO überwacht Browser-Fenster und wartet auf bestimmte Zeichenketten wie etwa "gold", "cash", "bank", "log", "user", "usr" oder "pwd" und weitere. Dann tritt der Key-Logger in Aktion und protokolliert die Eingaben. Diese sendet er in regelmäßigen Abständen an einen Web-Server.

Die meisten Antivirus-Programme erkennen den Schädling mittlerweile, falls die neuesten Updates installiert sind. Antivirus-Software erkennt das Trojanische Pferd teils als eine neue Variante aus der "Bagle"-Familie, teilweise wird es auch der recht ähnlichen "Mitglieder"-Familie zugerechnet. Bei Symantec heißt er hingegen " PWSteal.Tarno.Q ".

Antivirus

Malware-Name

AntiVir

TR/Dldr.Agen.CC.1.A

Avast!

-/-

AVG

I-Worm/Bagle.JJ

BitDefender

Trojan.Downloader.Small.EJ

ClamAV

Trojan.Downloader.Small-826

Command AV

W32/Downloader.LLX

Dr Web

Trojan.DownLoader.6023

eSafe

Win32.Small.gs

eTrust-INO

Win32/Clagger.5944!Trojan

eTrust-VET

Win32/Clagger!generic

Ewido

Trojan.Small.gs

F-Prot

W32/Downloader.LLX

F-Secure

Trojan.Win32.Small.gs

Fortinet

W32/Mitglieder.GW!tr

Ikarus

Email-Worm.Win32.Bagle.EZ

Kaspersky

Trojan-Downloader.Win32.Small.bxp

McAfee

Generic Downloader.u trojan

Nod32

Win32/TrojanDownloader.Small.NGA trojan

Norman

W32/Mitglied.OB

Sophos

Troj/BagleDl-AR

Symantec

PWSteal.Tarno

Trend Micro

TROJ_GETO.A

0 Kommentare zu diesem Artikel
117142