Alter Trick, neue Technik: WM-Trojaner tarnt sich mittels Rootkit-Techniken

Mai 08, 2006 Sophos Press Release

Knapp vier Wochen vor dem Start der Fußball-Weltmeisterschaft versuchen Cyberkriminelle die Vorfreude fußballinteressierter Computeranwender für ihre Zwecke zu missbrauchen. So ist seit 4. Mai eine E-Mail in Umlauf, die mit Betreffzeilen wie "Fußballweltmeisterschaft 2006 in Deutschland" unbedarfte User dazu bringt, das beigefügte Attachment zu öffnen und so ihre Rechner mit einem Trojaner zu infizieren. PC-User auf diese Art zu täuschen, ist nicht neu. Bereits im vergangenen Jahr verbreitete sich der E-Mail-Wurm Sober-N - getarnt als angebliche Zuteilung zweier Tickets für die Fußball-Weltmeisterschaft – und befiel auf diese Weise weltweit tausende Rechner. Jedoch nimmt die kriminelle Motivation der Virenprogrammierer bedrohlich zu, wie der Computersicherheits-Sezialist Sophos betont. War Sober-N dazu programmiert, sich selbstständig an die auf dem infizierten Rechner gespeicherten Adressen zu versenden, versucht der neue WM-Trojaner, an vertrauliche User-Daten zu gelangen.

Pino von Kienlin, Geschäftsführer der Sophos GmbH, kommentiert: "Die Masche des sogenannten 'Social Engineering' ist mittlerweile typisch für Virenschreiber. Sie nutzen bewusst aktuelle Anlässe, Großveranstaltungen sowie Jahres- oder Feiertage, um die Neugier oder Begeisterung der Anwender zu missbrauchen und so ihre Schadprogramme erfolgreich zu verbreiten. Dabei verfolgen Cyberkriminelle immer öfter finanzielle Motive, wie der jüngste Fall bestätigt. Mithilfe von Trojanern versuchen sie zum Beispiel, unbemerkt an vertrauliche Daten und darüber an das Geld der Anwender zu gelangen. Umso wichtiger ist es, dass Computeranwender stets vorsichtig sind bei E-Mails unbekannter Absender - vor allem wenn sie ausführbare Dateien enthalten. Ein absolutes Muss ist daneben die regelmäßige Aktualisierung der installierten Antiviren-Software."

Hinter dem E-Mail-Anhang mit dem angeblichen Spielplan zur Fußball-Weltmeisterschaft 2006 verbirgt sich der bereits bekannte Backdoor-Trojaner Troj/Haxdoor-IN. Öffnen die Empfänger die ausführbare Datei mit dem Namen googlebook.exe, installiert sich der schädliche Code unbemerkt im Hintergrund und versteckt sich mittels Rootkit-Techniken auf dem Rechner. Der Schädling ist so programmiert, dass er Daten mitprotokolliert und an Hacker weitergibt, die der betroffene Anwender über den Internet Explorer in Online-Formulare eingibt.

Um sich vor gefährlichen Viren- und Hacker-Angriffen zu schützen, empfiehlt Sophos allen Computeranwendern und Unternehmen, ihre Rechner und IT-Systeme mit umfassenden Sicherheitsprogrammen auszustatten. Dazu gehören insbesondere regelmäßig aktualisierte Antiviren- und Antispam-Lösungen, persönliche Firewalls sowie die neuesten System-Updates der verwendeten Softwareprogramme. Zusätzlich ist bei E-Mails von unbekannten Absendern stets höchste Vorsicht geboten.