Spam-Mails sollen Kunden von Trend Micro auf eine gefälschte Website locken und sie dazu verleiten, persönliche Informationen einzugeben. Eine vorgebliche Testversionen von Trend-Micro-Software enthält dabei ein Trojanisches Pferd.
Chinesische Phisher versuchen Kunden des Antivirus-Herstellers Trend Micro auszuspionieren. Sie versenden Spam-artige Mails, in denen sie den Download einer kostenlose Testversion von Trend Micro Anti-Spyware bewerben. Die Links in diesen Mails führen jedoch nicht zu einer Website des Herstellers sondern zu einer Nachahmung mit chinesischer Top-Level-Domain (trendmicroinc.cn). Bereits gestern hat Firefox beim Aufruf der Seite eine Warnung ausgegeben.
Wie die Malware-Forscher von Trend Micro in ihrem Blog berichten, bieten die Täter auf ihrer Website eine vorgebliche Testversion von Trend Micro Anti-Spyware zum Download an, die ein Trojanisches Pferd enthält. Dieses lädt wiederum weitere Malware aus dem Internet herunter, die einen Key-Logger installiert, der Tastatureingaben überwacht und protokolliert.
Das Interesse der Täter gilt dabei den Anmeldedaten für verschiedene Online-Zahlungssysteme wie zum Beispiel "E-Gold". Der Key-Logger übermittelt die ausgespähten Informationen per HTTP (also wie ein Web-Browser) an einen von mehreren Internet-Servern.
Die inzwischen nicht mehr erreichbare Phishing-Website enthält außerdem ein Registrierungsformular, das eine Reihe von persönlichen Daten abfragt, wenn der Besucher eine Testversion zum Download ausgewählt hat. Die Downloads sind alle identisch, tragen lediglich unterschiedliche Dateinamen. Der enthaltene Schädling wird bereits von einigen Antivirus-Produkten erkannt:
|
Antivirus
|
Malware-Name
|
|---|---|
|
AntiVir
|
TR/Drop.Agent.btc.1
|
|
Avast!
|
---
|
|
Dropper.Generic.PIK
|
|
|
Trojan.Inav.A
|
|
|
A-Squared
|
---
|
|
ClamAV
|
---
|
|
Command AV
|
---
|
|
Dr Web
|
---
|
|
eSafe
|
---
|
|
eTrust
|
---
|
|
Ewido
|
---
|
|
F-Prot
|
---
|
|
Trojan-Dropper.Win32.Agent.btc
|
|
|
Fortinet
|
W32/Agent.BTC!tr
|
|
Ikarus
|
Trojan-Dropper.Win32.Agent.btc
|
|
Trojan-Dropper.Win32.Agent.btc
|
|
|
---
|
|
|
TrojanDropper:Win32/Malf.gen
|
|
|
Nod32
|
Win32/TrojanDropper.Agent.BTC
|
|
Norman
|
---
|
|
---
|
|
|
QuickHeal
|
---
|
|
Rising AV
|
---
|
|
Sophos
|
Sus/Behav-1018
|
|
Spybot S&D
|
Smitfraud-C.,,Executable
|
|
Sunbelt
|
Trojan-Dropper.Win32.Agent.btc
|
|
--- (Trojan.Dropper)*
|
|
|
Trend Micro
|
TROJ_DROPPER.CNH
|
|
VBA32
|
---
|
|
VirusBuster
|
---
|
|
WebWasher
|
Trojan.Drop.Agent.btc.1
|
|
GData AVK 2007 **
|
Trojan-Dropper.Win32.Agent.btc
|
Quelle:
AV-Test
, Stand: 06.09.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast