Phishing: Malware imitiert Windows-Aktivierung
Ein Trojanisches Pferd zeigt einen vorgetäuschten Dialog zur Windows-Aktivierung an und fordert darin zur Eingabe von Kreditkartendaten auf. Eine andere Variante imitiert dazu das Sicherheitscenter von Windows XP.
Wenn auf einem regulär erworbenen Windows-PC plötzlich ein Fenster erscheint, das zur Aktivierung von Windows auffordert und dabei auch nach der Kreditkartennummer fragt, ist etwas faul. Im Blog der Sicherheitsforscher von Symantec berichtet Takashi Katsuki über einen Schädling namens "Trojan.Kardphisher", der einen Dialog zur Windows-Aktivierung vortäuscht. Darin wird die Eingabe von Mail-Adresse, Telefonnummer, Kreditkartendaten sowie der PIN für den Geldautomaten verlangt.
Das Trojanische Pferd zeigt sich erst nach einem Neustart von Windows. Im ersten Fenster besteht lediglich die Auswahl zwischen Ja und Nein (ja, jetzt aktivieren oder nein, später aktivieren). Der Aufruf des Taskmanagers und der Wechsel zu einem anderen Programm sind blockiert. Wer sich für Nein entscheidet, dessen PC wird sofort herunter gefahren. Wer Ja wählt, bekommt ein zweites Fenster vorgesetzt, in das er seine Daten eingeben soll. Macht er das nicht, wird der PC ebenfalls herunter gefahren. Die Lösung des Problems besteht darin Windows im Abgesicherten Modus zu starten und die von der Spyware angelegten Registry-Einträge zu entfernen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soft2HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
Auch Trend Micro hat einen solchen Schädling entdeckt, wie Miray Lozada im Malware-Blog des Antivirus-Herstellers berichtet. Dieser wird "TSPY_BANKER.IFC" genannt und ahmt einen Dialog des Sicherheitscenters von Windows XP nach. Darin werden noch mehr Daten abgefragt, so etwa auch das Geburtsdatum, die Nummer des Führerscheins und die in den USA wichtige Sozialversicherungsnummer. Das dieser Schädling den Taskmanager nicht blockiert, ist die Beseitigung etwas einfacher, denn die Malware kann darüber identifiziert und beendet werden.
Beide Schädlinge betreiben Phishing mittels so genanntem "Social Engineering". Sie täuschen eine legitime und vertrauenswürdige Umgebung vor, in der potenzielle Opfer ihre Daten preis geben sollen. Diese senden sie dann an einen Server im Internet, wo die Täter die Daten abholen und für kriminelle Zwecke missbrauchen können. Die Lehre daraus lautet, wie Takashi Katsuki in Anlehnung an die Fernsehserie "Akte X" meint, "traue niemandem".
