254225

Malware manipuliert DNS-Einstellungen

04.11.2005 | 16:18 Uhr |

PhishinGoogle-Mails enthalten einen Download-Link zu einem Schädling, der DNS-Einstellungen verändert.

Die Websense Security Labs berichten über eine weitere Masche bei PhishinGoogle-Mails. In vorgeblich von Paypal stammenden Mails ist ein Link zu einer Datei enthalten, die als "PayPal security tool" ausgegeben wird. Das angebliche Sicherheitsprogramm verändert die DNS-Einstellungen auf dem PC, sodass Anwender unbemerkt auf eine gefälschte Website geleitet werden.

Dazu ändert das gerade 1,5 KB kleine Programm in den Netzwerk-Einstellungen den Eintrag für den Name-Server und löscht sich danach selbst. Der PC fragt dann nicht mehr bei dem Name-Server des Internet-Providers nach der IP-Adresse, die zur URL "www.paypal.com" gehört. Vielmehr nimmt er Kontakt zu einen DNS-Server der Betrüger auf.

Anwender werden dann trotz korrekt erscheinender Web-Adresse, die aus den Favoriten / Lesezeichen des Browsers aufgerufen wird, zu einer gefälschten Login-Seite geleitet. Hier werden dann, anders als beim echten Paypal-Login, diverse persönliche Daten abgefragt.

Der Text der vorgeblichen Paypal-Mails beginnt mit einer Frage wie "Security Measures - Are You Traveling?" und behauptet, es habe ungewöhnliche Aktivitäten auf dem Paypal-Konto des Empfängers gegeben. Zwechs Sicherheitsüberprüfung solle er sich das "PayPal security tool" herunter laden. Der Link verweist auf eine IP-Adresse und dort auf eine Datei namens "PayPal-2.5.200-MSWin32-x86-2005.exe".

Die Erkennung durch Virenscanner ist noch sehr unvollständig:

AntiVir

TR/DNSChanger.AL

eTrust (VET)*

Win32.DNSChanger.A

Ewido

Trojan.DNSChanger.al

F-Secure

Trojan.Win32.DNSChanger.al

Kaspersky

Trojan.Win32.DNSChanger.al

McAfee*

DNSChanger.c trojan

Trend Micro*

TROJ_DNSCHANGE.F

* Erkennung derzeit nur mit Virendefinitionen, die noch nicht in den regulären Updates enthalten sind

Es muss davon ausgegangen werden, dass diese Phishing-Masche in nächster Zeit nicht nur bei Paypal-Benutzern versucht werden wird. Haben die Täter einen PC erstmal in dieser Weise kompromittiert, können sie prinzipiell beliebige Web-Adressen, der ein Anwender eingibt, auf gefälschte Seiten umlenken. Dazu ist weder eine Änderung in der HOSTS-Datei nötig, noch ein ständig auf dem PC aktiver Schädling. Es genügt ein kleines Programm, das einmal die Netzwerk-Einstellungen ändert und sich dann selbst löscht.

0 Kommentare zu diesem Artikel
254225