12122

Gezielte Malware-Angriffe mit Fotos aus Tibet

12.03.2008 | 15:55 Uhr |

Eine harmlos erscheinende CHM-Datei enthält nicht nur einige Tibet-Fotos von National Geographic sondern auch ein Trojanisches Pferd. Dieses startet eine Malware-Kaskade, die dem Ausspionieren vertraulicher Informationen dient.

Neben der massenhaften Verbreitung von Malware, um Botnets aufzubauen und eine möglichst große Menge an Zugangsdaten und Kontoinformationen zu sammeln, gibt es auch noch eine andere Taktik, die meist im Verborgenen bleibt. Um an vertrauliche Informationen zu gelangen, die auf anderem Wege nicht oder nur mit viel Aufwand zu erhalten wären, senden Kriminelle spezielle Malware gezielt an Einzelpersonen oder bestimmte Unternehmen. Dabei setzen sie auf die gleichen Maschen wie bei Massen-Malware, vorzugsweise aus der Trickkiste des Social Engineering.

So berichtet Elodie Grandjean im McAfee Avert Blog über zwei eng verwandte Fälle, in denen CHM-Dateien mit Fotos aus Tibet die Hauptrolle spielen. CHM-Dateien (compiled HTML) gehören an sich zum HTML-Hilfesystem von Windows. Sie können neben HTML-Dateien auch beliebige andere Dateien, einschließlich Binärdateien (zum Beispiel Bilder oder EXE-Dateien) enthalten. Bereits vor einigen Jahren gab es Malware, die im CHM-Format verpackt daher kam.

Die CHM-Dateien im jüngsten Fall enthalten Fotos aus dem Tibet der 1940er Jahre, die einer Dokumentation von National Geographic entstammen. Öffnet der Empfänger die harmlos erscheinende CHM-Datei, sieht er diese Fotos, während im Hintergrund eine Datei namens "music.exe" angelegt und gestartet wird. Diese legt wiederum zwei weitere Dateien an, "conime.exe" (oder "avp.exe") und "zipfldr.dll". Erstere löscht die music.exe und lädt zwei weitere Dateien, "setup.dat" und "winzip.exe" aus dem Internet herunter.

Die DLL ist der eigentliche Spion in dieser Malware-Sammlung. Sie speichert gesammelte Daten in zwei Protokolldateien. Dazu zählen neben aufgezeichneten Tastatureingaben auch Informationen über den Rechner und darauf installierte Software sowie Passwörter für Outlook und Hotmail. Ferner werden im IE gespeicherte Passwörter für Websites darin abgelegt und an einen Server im Internet übermittelt.

Numaan Huq von Sophos hat sich ebenfalls mit diesen CHM-Dateien befasst und zeigt im Blog des Antivirus-Herstellers zwei Beispiele enthaltener Fotos.

Die Moral von der Geschicht': Öffne unbekannte Anhänge nicht.

0 Kommentare zu diesem Artikel
12122