Vorgebliches Symantec-Update spioniert Bankdaten aus
Auf einer nachgeahmten Symantec-Seite wird ein Trojanisches Pferd als Antivirus-Update angeboten.
Auf einer nachgeahmten Symantec-Seite wird ein Trojanisches Pferd als Antivirus-Update angeboten.
Immer wieder werden Internet-Nutzer per Mail oder Instant Messenger sowie auf Web-Seiten auf angebliche Aktualisierungen für Windows oder Sicherheitsprogramme hingewiesen, um sie in die Malware-Falle zu locken. Der neueste Fall betrifft Symantec - er spielt zwar in Brasilien, kann sich jedoch in gleicher oder ähnlicher Weise überall auf der Welt ereignen.
Internet-Nutzer werden auf eine derzeit noch immer erreichbare Web-Seite in portugiesischer Sprache gelockt, die ähnlich wie eine Phishing-Seite das Erscheinungsbild der Symantec-Website imitiert. Dort soll es ein Update für den "Symantec Security Check" geben, den sich der Besucher herunter laden soll. Dieser kommt jedoch kaum dazu die Seite zu lesen, denn schon erscheint ein Download-Dialog, der zum Speichern einer Datei auffordert.
Die dem Anwender derart aufgenötigte Datei heißt "latest_newupdate.exe" und ist 615.424 Byte groß. Die Eigenschaften Datei zeigen ein Dateisymbol, das dem Symantec-Logo ähnelt und weisen sie als "Symantec Antivirus" mit der Versionsnummer 1.0.0.0 aus.
Wird das vermeintliche Update ausgeführt, legt es die Dateien "Winuser.exe" und "Winuser.ini" im Windows-Verzeichnis an. Damit der Schädling bei jedem Windows-Start geladen wird, legt er einen Registry-Eintrag an:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"" = "%Windir%\Winuser.exe"
"" = "%Windir%\Winuser.exe"
Dabei steht "%Windir%" für das Installationsverzeichnis von Windows, also meist C:\Windows oder C:\Winnt. Ferner sendet der Schädling eine Mail mit Informationen über den verseuchten Computer an eine Google-Mail-Adresse.
Die von Symantec "Trojan.Bakloma" getaufte Malware überwacht die Titel der im Internet Explorer geladenen Seiten. Stimmt der Titel mit einem im Schädling vordefinierten überein, blendet er eine Eingabemaske ein und sendet die eingegebenen Daten per Mail an die Google-Mail-Adresse. Anschliessend beendet sich die Malware selbst.
Erkennung durch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Spy.Banker.bsx.1 |
| Avast! | -/- |
| AVG | PSW.Banker2.MHM |
| BitDefender | Trojan.Spy.Banker.BVA |
| ClamAV | -/- |
| Command AV | -/- |
| Dr Web | Trojan.PWS.Banker.4742 |
| eSafe | -/- |
| eTrust-INO | -/- |
| eTrust-VET | -/- |
| Ewido | Logger.Banker.bsx |
| F-Prot | -/- |
| F-Secure | Trojan-Spy.Win32.Banker.bsx |
| Fortinet | Spy/Banker |
| Ikarus | -/- |
| Kaspersky | Trojan-Spy.Win32.Banker.bsx |
| McAfee | PWS-Banker.gen.b |
| Microsoft | -/- |
| Nod32 | -/- |
| Norman | -/- |
| Panda | -/- |
| Quickheal | -/- |
| Sophos | -/- |
| Symantec | Trojan.Bakloma |
| Trend Micro | -/- |
| UNA | -/- |
| VBA32 | Trojan-Spy.Win32.Banker.bsx |
| Virusbuster | -/- |
| WebWasher | Trojan.Spy.Banker.bsx.1 |
| GData AVK * | Trojan-Spy.Win32.Banker.bsx |
Quelle: AV-Test, Stand: 22.08.06, 15:00 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender
