Trojanische Karnickel
Paypal-Phishing mit Malware-Hasen
Am Wochenende haben Malware-Forscher eine Welle von Phishing-Angriffen beobachtet, die mit harmlos scheinenden, aber bösartigen Mail-Anhängen ausgeführt werden. In den Dateien steckt ein Trojanisches Pferd.
Wenn Sie in diesen Tagen Mails erhalten, in denen Ihnen Unbekannte vorgeblich Hasen (englisch: rabbits) schicken, wird es sich wahrscheinlich um einen Teil der Phishing-Kampagne handeln, die Malware-Forscher des britischen Antivirusherstellers Sophos am Wochenende entdeckt haben. Die Täter versenden Mail mit komprimierten Archiven im Anhang, in denen ein Trojanisches Pferd steckt. Dieses soll den Rechner so manipulieren, dass Aufrufe der Paypal-Website zu einer präparierten Kopie auf dem Web-Server der Online-Kriminellen umgeleitet werden.
Die Mails kommen nach Angabe von Fraser Howard im Sophos-Blog mit einem unscheinbaren Betreff wie "Hi! smile for you" und einem Text wie "I've send you some sweet rabbits! waiting for reply, kiss". Im Anhang dieser Mails befindet sich ein komprimiertes RAR-Archiv namens "rabbits.rar". Darin steckt das Programm "rabbits.exe", ein Trojanisches Pferd.
Der Schädling schreibt die VBScript-Datei "adobe.vbs" in das TEMP-Verzeichnis und führt dieses Script mit Hilfe des Windows Scripting Host (wscript.exe) aus. Das recht schlichte Script überschreibt die HOSTS-Datei und lenkt so Aufrufe der Paypal-Website auf eine IP-Adresse der Angreifer um. Im Browser erscheint dabei weiterhin die Originaladresse von Paypal. Der Schädling wird von Sophos als Troj/Agent-IYU erkannt.
