Trojaner erbeutet Online-Banking-Passwörter

Sicherheits-Spezialist Panda Software meldet, dass vor einigen Stunden ein neuer Trojaner, Nabload.U, erschienen ist. Nabload.U versendet sich selbst innerhalb von Nachrichten und lädt einen weiteren Trojaner, Banker.bsx, auf den befallenen Computer.

Mit dem doppelten Angriff bezweckt der Erfinder dieser Malware den Diebstahl von Passwörtern hauptsächlich spanischsprachiger Nutzer bestimmter Banken, eine entsprechene Liste ist in seinem Code enthalten. Unüblich ist dabei die Fähigkeit des Trojaners, Informationen ohne den Gebrauch eines traditionellen Key-Loggers zu entwenden. Dem User bleibt dieser Protokollierungsvorgang verborgen. Geldinstitute, die virtuelle Keyboards zum Schutz vor Key-Loggern nutzen, sind damit nicht gegen diesen Trojaner geschützt. Der Trojaner Banker.bsx ist wie ein Hybrid-Virus, der verschiedene Verfahren vereint, entwickelt: Mit einem Klicken auf die URL wird der Trojaner geladen. Im Anschluss nutzt er Techniken, die denen von Spyware und Phishing-Attacken ähneln. „Zweifellos wurde er entwickelt, um in einem möglichst kurzen Zeitraum Daten zu stehlen, ohne Spuren zu hinterlassen“, so Luis Corrons, Leiter der PandaLabs.

Die Betreffzeile in der Nachricht ist in spanischer Sprache verfasst: „ve esa vaina http://hometown.%eliminado%.au/miralafoto.exe“. Um den Nutzer zum Anklicken der URL zu verleiten, ist die E-Mail in der Art einer persönlichen Nachricht konzipiert. Mit dem Anklicken, infiziert auch der zweite Trojaner, einschließlich zweier weiterer URLs (http://hometown.%eliminado%.au/arqarq/coco2006.jpg und http://hometown.%eliminado%.au/modnatal/coco2006.jpg.) den Rechner. Auf diese Weise wird eine konfigurierte Datei heruntergeladen, die, neben weiteren Informationen, die E-Mail-Adresse, zu der die gestohlenen Daten gesendet werden, beinhaltet.

Banker.bsx öffnet den Port 1106 auf dem Computer und bleibt aktiviert. Sobald der Nutzer daraufhin versucht, die Webseite seiner Online-Bank zu öffnen, speichert der Trojaner die eingegebenen Daten, inklusive Logins und Passwörtern. Folgende Adressen sind vom Angriff betroffen:

• https://secure2.venezolano.com/
• https://e-bdvcp.banvenez.com/
• https://www.ibprovivienda.com.ve/personas/
• https://banco.micasaeap.com/individualmc/
• https://olb.todo1.com/servlet/msfv/
• https://www.banesco.com/servicios_electronicos_pag.htm
• https://www.banesconline.com/
• https://www.provinet.net/shtml/
• https://bod.bodmillenium.com/
• https://www.corp-line.com.ve/personas/

Wenn der Trojaner die Informationen entwendet hat, sendet er die Daten an eine E-Mail Adresse, die vom Autor des Trojaners verändert werden kann. Um Schutz zu gewährleisten, bietet Panda Software allen Anwendern die kostenfreie Online Anti-Malware-Lösung Panda ActiveScan, welche nun auch Spyware entdecken kann, an.

Es sei jedoch angemerkt, dass ein Online-Scan bestenfalls als Ergänzung zu sehen ist, einen vollwertigen Virenscanner mit On-Access-Wächter und ein bedachtes Verhalten bei der Benutzung des Internets bleiben weiterhin oberstes Gebot.