News : WM-Trojaner tarnt sich mittels Rootkit

, 16 Kommentare

Knapp vier Wochen vor dem Start der Fußball-Weltmeisterschaft versuchen Cyberkriminelle die Vorfreude fußballinteressierter Computeranwender für ihre Zwecke zu missbrauchen. So ist seit gestern eine E-Mail in Umlauf, die unbedarfte Nutzer dazu bringt, den beigefügten Anhang zu öffnen und so den Windows-Rechner mit einem Trojaner zu infizieren.

Die Betreffzeilen, welche den Benutzer ködern sollen, lauten dabei etwa „Fußballweltmeisterschaft 2006 in Deutschland“. PC-Benutzer auf diese Art zu täuschen, ist nicht neu. Bereits im vergangenen Jahr verbreitete sich der E-Mail-Wurm Sober-N – getarnt als angebliche Zuteilung zweier Tickets für die Fußball-Weltmeisterschaft – und befiel auf diese Weise weltweit tausende Rechner. Jedoch nimmt die kriminelle Motivation der Virenprogrammierer zu, wie der Computersicherheits-Spezialist Sophos betont. War Sober-N dazu programmiert, sich selbstständig an die auf dem infizierten Rechner gespeicherten Adressen zu versenden, versucht der neue WM-Trojaner, an vertrauliche User-Daten zu gelangen.

„Die Masche des so genannten „Social Engineering“ ist mittlerweile typisch für Virenschreiber. Sie nutzen bewusst aktuelle Anlässe, Großveranstaltungen sowie Jahres- oder Feiertage, um die Neugier oder Begeisterung der Anwender zu missbrauchen und so ihre Schadprogramme erfolgreich zu verbreiten. Dabei verfolgen Cyberkriminelle immer öfter finanzielle Motive, wie der jüngste Fall bestätigt. Mithilfe von Trojanern versuchen sie zum Beispiel, unbemerkt an vertrauliche Daten und darüber an das Geld der Anwender zu gelangen. Umso wichtiger ist es, dass Computeranwender stets vorsichtig sind bei E-Mails unbekannter Absender – vor allem wenn sie ausführbare Dateien enthalten. Ein absolutes Muss ist daneben die regelmäßige Aktualisierung der installierten Antiviren-Software.“

Pino von Kienlin, Geschäftsführer der Sophos GmbH

Hinter dem E-Mail-Anhang mit dem angeblichen Spielplan zur Fußball-Weltmeisterschaft 2006 verbirgt sich der bereits bekannte Backdoor-Trojaner Troj/Haxdoor-IN. Öffnen die Empfänger die ausführbare Datei mit dem Namen googlebook.exe, installiert sich der schädliche Code unbemerkt im Hintergrund und versteckt sich mittels Rootkit-Techniken auf dem Rechner. Der Schädling ist so programmiert, dass er Daten mitprotokolliert, die der betroffene Anwender über den Internet Explorer in Online-Formulare eingibt, und an Cracker weitergibt. Im Folgenden ein Screenshot zur E-Mail, die den Trojaner Troj/Haxdoor-IN typischerweise transportiert und deren Anhang somit nicht geöffnet werden sollte:

Eine typische Email des WM-Trojaners
Eine typische Email des WM-Trojaners