52706

Online-Bankraub in aller Stille

15.01.2008 | 15:27 Uhr |

Eine auf Online-Banking spezialisierte Familie Trojanischer Pferde hat es mittlerweile zu einem Funktionsumfang gebracht, der sie von der breiten Masse der Banking-Malware abhebt.

Malware, die versucht die Anmeldedaten für das Online-Banking zu stehlen, gibt es wie Sand am Meer. Kaum einer dieser Schädlinge legt besonderen Wert darauf dies möglichst geräuschvoll zu tun. Insofern ist der Name "Silent Banker", den sich die Malware-Forscher für eine bestimmte Schädlingsfamilie ausgedacht haben, nicht sonderlich originell. Die Funktionsvielfalt, mit der diese Schädlinge inzwischen aufwarten können, beeindruckt selbst Liam OMurchu , der als Malware-Spezialist bei Symantec täglich damit zu tun hat.

Offenbar ist ihm ein Nebeneffekt besonders aufgefallen: Trojan.Silentbanker installiert sich auch als Midi-Treiber und unterbricht damit auf dem Rechner laufende Musik. Jetzt meint man auch zu verstehen, warum er diesen Namen erhalten hat.

Trojan.Silentbanker kennt sich mit den technischen Details von etwa 400 Banken aus, neben den US-Banken auch diverse europäische. Weitere Informationen über Änderungen oder neu eingepflegte Banken holt er sich aus einer Konfigurationsdatei im Internet, die mehrmals täglich aktualisiert wird.

Der Schädling agiert als "Mann in der Mitte", wenn der Benutzer eines infizierten Rechners Kontakt mit seiner Bank aufnehmen will. Sobald das Opfer sich angemeldet und eine Überweisung getätigt hat, ändert Trojan.Silentbanker das Zielkonto der Überweisung, gaukelt dem Benutzer jedoch weiterhin vor, alles laufe wie beabsichtigt. SSL-verschlüsselte Verbindungen sind keine Hürde, denn der Schädling klinkt sich zwischen Benutzerschnittstelle und Verschlüsselungsmodul ein.

Zum Repertoire von Trojan.Silentbanker gehören auch Umleitungen auf andere Server durch DNS-Manipulation. Selbst wenn der Schädling entfernt wird, können noch falsche DNS-Einträge zurück bleiben, die den Benutzer weiterhin zum Online-Banking-Server der Angreifer schicken.

Außerdem sammelt Trojan.Silentbanker Passwörter für Mail-, FTP- und Web-Konten. Er kennt ferner mehr als 600 Web-Adressen von Porno-Websites, die er dem Benutzer zeigen kann, um von Partnerprogrammen der Porno-Sites zu profitieren. Schließlich kann er auch noch weitere Malware aus dem Internet laden und den Rechner in einen Proxy oder Web-Server verwandeln.

0 Kommentare zu diesem Artikel
52706