51710

Loveletter: Versteckter Trojaner klaut Passwörter

Im Loveletter-Virus versteckt sich auch noch eine hinterhältige Routine, die Passwörter abfängt und versucht, sie an eine philippinische E-Mail-Adresse zu schicken

Im Loveletter-Virus versteckt sich auch noch eine hinterhältige Routine, die Passwörter abfängt und versucht, sie an eine philippinische E-Mail-Adresse zu schicken, das meldet das Webzine TecChannel.

Die Antiviren-Experten von Network Associates (NAI) haben die Datei WIN-BUGSFIX.EXE auf ihrer Webseite dokumentiert. Demnach liest das Programm aus dem unverschlüsselten Passwort-Cache von Windows den Anmeldenamen, den Anmeldeserver und die IP-Adresse des Opfers aus. Besonders brisant: Laut NAI soll der Trojaner auch das Passwort eines Remote Access Servers (RAS) auslesen.

Damit könnte sich der Angreifer leicht Zugang zu Firmennetzen verschaffen, sofern die RAS-Server nicht mit festgelegten Rückrufnummern arbeiten. Administratoren, die in ihrem Netz die Datei WIN-BUGSFIX.EXE entdecken, muss somit dringend empfohlen werden, den RAS-Zugang nur noch mit Rückruf zu erlauben. Dazu sollte bei Windows NT auch die Möglichkeit gesperrt werden, dass die Benutzer ihre Rückrufnummer selbst einrichten.

Bei ISDN-Zugängen ist darüber hinaus eine Identifizierung der eingehenden Anrufe zu empfehlen.

Der Trojaner nennt sich selbst "Barok", ein Name, der auch schon im Quelltext des Loveletter-Virus selbst auftaucht. Auch der Name "spyder", der mutmaßliche Urheber der Mail-Wurms, steckt im Quelltext der Mails, die der Trojaner verschickt. Das Programm versucht unter der Betreffzeile "Barok... email.passwords.sender.trojan" eine Mail mit den Passwörtern an die Adresse "mailme@super.net.ph" zu schicken. Durch die Länder-Domain ".ph", die für die Philippinen steht, erhärtet sich der Verdacht, dass Loveletter von der Inselgruppe stammt.

Virenbeschreibung von NAI

TecChannel-Meldung

0 Kommentare zu diesem Artikel
51710