Trojanisches Pferd leitet Browser um
Wechselnde Phishing-Sites werden über eine manipulierte HOSTS-Datei angesteuert.
Ein Trojanisches Pferd leitet Aufrufe von Banken-Websites auf wechselnde Phishing-Server um. Die Websense Security Labs berichten über die Entdeckung eines Schädlings, der die Datei HOSTS manipuliert und so eine gefälschte Seite von einem Phishing-Server lädt, wenn Anwender die Website ihrer Bank ansteuern.
Das Trojanische Pferd trägt in der Datei "HOSTS" mehr als 100 Web-Adressen bekannter amerikanischer und europäischer Banken ein und verknüpft sie mit IP-Adressen von Phishing-Servern. Der Schädling überwacht den Status geöffneter Fenster, die entweder zum Internet Explorer oder zum Ordner "Arbeitsplatz" gehören. Ist kein solches Fenster geöffnet, trägt er in der HOSTS-Datei die IP-Adresse "127.0.0.1" für alle Banken-Websites ein.
Ist hingegen der Internet Explorer geöffnet, führt der Schädling eine DNS-Anfrage bei einem Name-Server in Russland aus. Von dort erhält er aktuelle IP-Adressen aktiver Phishing-Server, die er in die HOSTS-Datei einträgt. Ruft ein Anwender nun die Website seiner Bank auf, wird er auf einen Phishing-Server umgeleitet. In der URL-Zeile des Browsers erscheint jedoch die korrekte Web-Adresse der Bank.
Auf diese Weise umgehen die Täter das Problem, dass Phishing-Server meist recht schnell dicht gemacht werden und nicht mehr zur Verfügung stehen. Das Trojanische Pferd enthält nicht, wie frühere Vertreter dieser Spezies, eine statische Liste von IP-Adressen sondern holt sich über das Internet aktuelle Informationen. Wird eine Phishing-Site von Netz genommen, können die Täter die Umleitung auf eine neue IP-Adresse lenken.
Die Datei HOSTS befindet sich im Verzeichnis "drivers\etc" im System-Verzeichnis von Windows, also etwa in "C:\Windows\System32\drivers\etc". Nach der Installation von Windows enthält sie lediglich einige mit "#" beginnende Kommentarzeilen sowie einen Eintrag "127.0.0.1 localhost". Wenn die HOSTS-Datei auf Ihrem Rechner so aussieht, ist das in Ordnung. Sind jedoch weitere Einträge vorhanden, die Sie nicht selbst vorgenommen haben, kann dies ein Zeichen für eine Manipulation durch einen Schädling sein.
