Virenscanner schwächeln bei Script-Code in Phishing-Seiten
Nur wenige Antivirus-Programme erkennen Javascript-Konstrukte, die falsche Adressen vortäuschen.
Beim Datendiebstahl durch Phishing (Password Fishing) bedienen sich die Täter zunehmend vorgefertigter Baukästen, so genannte "Phishing Kits" (wir berichteten). Diese enthalten gefälschte Banken-Websites, die mit zusätzlichen Javascript-Konstrukten ausgestattet sind.
Die Scripte sind in den einzelnen Websites eines solchen Baukastens praktisch gleich, sie unterscheiden sich lediglich in kleineren Details wie Variablennamen oder den numerischen Werten einzelner Parameter. Ein solches Script ist zum Beispiel "JS/Stealus", wie es einige Antivirus-Hersteller nennen.
JS/Stealus soll eine Sicherheitslücke im Internet Explorer ausnutzen, um eine falsche Web-Adresse anzuzeigen. Dazu legt es eine zweite Adressleiste über die ursprüngliche. Das erfordert eine genaue Positionierung, damit der Trick nicht auffällt. In anderen Browsern wie Firefox kann dieses Script dazu führen, dass weitere, identische Browser-Fenster geöffnet werden.
Da einige Antivirus-Programme dieses Script erkennen und melden, haben wir einmal untersucht, welche Virenscanner das sind und wie zuverlässig sie mit den in der Praxis auftretenden Varianten dieses Scripts umgehen können. Als Basis dient eine mutmaßlich komplette Kopie eines Phishing-Servers, der mit dem "Rock Phishing Kit" ausgestattet war - bis er nach wenigen Tagen dicht gemacht wurde.
Bei dieser Stichprobe ergibt sich ein sehr durchwachsenes Bild. Nur vier Virenscanner erkennen mehr als die Hälfte der insgesamt 21 Varianten von JS/Stealus. Die meisten liegen im Bereich von drei bis vier erkannten Variationen. Das beste Ergebnis erzielt hier McAfee mit 18 Treffern, gefolgt von Fortinet (17), F-Secure (16) und Kaspersky (13). Danach klafft eine große Lücke zum Rest des Feldes.
Fortinet und F-Secure setzen mehrere Scan-Module unterschiedlicher Hersteller ein. F-Secure setzt dabei auf die bewährte Technik von Kaspersky und F-Prot sowie eigene Scan-Module. Folgerichtig weisen F-Secure und Kaspersky die gleichen Lücken in der Erkennung auf, F-Secure kann allerdings ein paar davon durch die F-Prot-Engine schließen.
Erkennung durch Antivirus-Programme:
| Antivirus | erkannt | Name |
|---|---|---|
| AntiVir | 3 | PHISH/CitiBkfraud.G, PHISH/CitiBkfraud.K |
| Avast! | 2 | VBS:Malware [Script] |
| AVG | 0 | |
| BitDefender | 3 | Trojan.Spy.Html.Citifraud.J, Trojan.Html.Phishbank.A |
| ClamAV | 3 | HTML.Phishing.Bank-44, JS.Stealus.A |
| Command AV | 3 | HTML/Bayfraud.N@pws, JS/Bankfraud.B@troj |
| Dr Web | 3 | JS.Stealus |
| eSafe | 3 | JS.Feebs, JS.Stealus.a |
| eTrust-INO | 3 | HTML/Phishbank!Trojan, HTML/Phishbank.Dbank!Trojan |
| eTrust-VET | 3 | JS.Stealus |
| Ewido | 3 | Logger.Citifraud.j, Logger.Bankfraud.mf |
| F-Prot | 3 | HTML/Bayfraud.N@pws, JS/Bankfraud.B@troj |
| F-Secure | 16 | Trojan-Spy.HTML.Citifraud.j, JS/Bankfraud.B@troj |
| Fortinet | 17 | JS/Citifraud, HTML/Citifraud.J-tr, JS/Stealus.gen!tr |
| Ikarus | 2 | Trojan-Spy.HTML.Citifraud.J |
| Kaspersky | 13 | Trojan-Spy.HTML.Citifraud.j, Trojan-Spy.HTML.Bankfraud.mf |
| McAfee | 18 | JS.Stealus, JS/Stealus.gen |
| Nod32 | 0 | |
| Norman | 0 | |
| Panda | 4 | Trj/Stealus.B, Trj/Citifraud.H |
| Sophos | 1 | Troj/Stealus-A |
| Symantec | 1 | JS.Stealus |
| Trend Micro | 1 | JS_STEALUS.E |
Quelle: AV-Test (www.av-test.de), Stand: 27.02.06
