169084

Rootkit in vorgeblichen Zertifikaten deutscher Banken

16.10.2008 | 16:17 Uhr |

Was zunächst wie eine Phishing-Mail wirkt, dient tatsächlich der Verbreitung von Malware. Ein vorgebliches Sicherheitszertifikat der DAB Bank erweist sich als Trojanisches Pferd, das Anmeldedaten umleitet.

Mails, die von einer deutschen Bank zu kommen scheinen, erweisen sich oft als Phishing-Versuche von Online-Kriminellen. Im neuesten Fall ist das Deutsch in den Mails derart schlecht, dass eigentlich niemand auf die Idee kommen kann, die Mails seien echt. Sie enthalten einen Link zu einer nachgeahmten Banken-Website, von der sich die Mail-Empfänger ein vorgebliches Sicherheitszertifikat herunter laden sollen.

Die Spam-artig verbreiteten Mails zielen auf Kunden der DAB Bank und kommen mit einem Betreff wie "DABbank AG - Wir erkennen Ihr Recht auf den Datenschutz an", "DABbank AG - Wir sind froh, dass Sie unsere Bank gewaehlt haben", "DABbank AG - Bitte informieren Sie uns ueber Informationen der Kunden, auf die Rufnummer angerufend..." oder "DABbank AG - Wir halten geheim und wir schuetzen die Informationen, die Sie uns vertrauen." und Absenderangaben wie "B2B DabBank", "Service DabBank" oder "DabBank aktuell".

Im Text heißt es zum Beispiel: "Wir verbreiten Kennwort nie. Tauschen Sie Ihren Kennwort jede ein Paar Monate. Seien Sie sicher, dass Ihr Computer von den Programmen des Anti-Virus, der Sicherheit und des Schutzes von anti-spyware erneuert wird." Es folgt ein Link zu einer von mehreren Web-Seiten, die denen der DAB Bank sehr ähnlich sehen. Nach einigen Sekunden startet automatisch der Download einer EXE-Datei, ein Download-Link zum Anklicken ist auch noch vorhanden.

Während der Text auf der Seite einen Dateinamen "CITIDigicertx.509" nennt und damit auf ein X.509-Zertifikat (der falschen Bank) anspielt, heißt die Datei tatsächlich "DABDigicertx.509.exe" und ist ganze 7 KB groß. Wie Macky Cruz im Trend Micro Malware Blog berichtet, installiert dieses Trojanische Pferd nach einigen Manipulationen am System einen Treiber (new_drv.sys) als versteckten Dienst.

Dieser klinkt sich in den Web-Datenverkehr (HTTP, HTTPS) ein und sendet abgefangene Anmeldedaten an einen Server im Internet. Nach Analysen von Trend Micro gehen die Daten nach China, es gibt jedoch auch Verbindungsversuche zu einem Rechner in Oldenburg. Möglicherweise sind beide Rechner Teil eines Botnets und daher beliebig austauschbar.

Die Erkennung des Schädlings durch aktuelle Antivirusprogramme weist noch einige Lücken auf.

Antivirus

Malware-Name

AntiVir

TR/ATRAPS.Gen

Avast!

---

AVG

Agent.AGCN (Trojan horse)

Bitdefender

DeepScan:Generic.Malware.dld!!.3195847D

CA-AV

---

ClamAV

Trojan.Agent-56084

Command AV

---

Dr Web

---

Fortinet

PossibleThreat

F-Prot

---

F-Secure

Trojan-Downloader.Win32.Agent.ajqg

G-Data AVK 2008

Trojan-Downloader.Win32.Agent.ajqg

G-Data AVK 2009

DeepScan:Generic.Malware.dld!!.3195847D

Ikarus

Win32.SuspectCrc

K7 Computing

---

Kaspersky

Trojan-Downloader.Win32.Agent.ajqg

McAfee

--- (Generic Downloader.ab)*

Microsoft

---

Nod32

---

Norman

---

Panda

suspicious

QuickHeal

---

Rising AV

---

SecureWeb-GW

Trojan.ATRAPS.Gen

Sophos

Troj/Agent-HXK

Spybot S&D

---

Sunbelt

---

Symantec

Downloader

Trend Micro

TROJ_DISKEN.R

VBA32

---

VirusBuster

---

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test , Stand: 16.10.08, 15 Uhr

0 Kommentare zu diesem Artikel
169084