Fehler
  • JUser: :_load: Fehler beim Laden des Benutzers mit der ID: 62

Trojaner

Trojaner

Trojaner Alarm: BitDefender warnt vor neuem Trojaner

Der Antiviren- und Malwarespezialist BitDefender warnt vor einem neuen Trojaner, der zum Einen im Netzwerk spioniert und zum Anderen Backdoor-Funktionen beinhaltet. Der von BitDefender Trojan.Spy.YEK genannte Trojaner sucht gezielt nach sicherheitsrelevanten Daten, Dateien und Archiven, die private Informationen beinhalten könnten und sendet diese "nach Hause".

Der Trojaner legt eine verschlüsselte dll netconf32.dll im Verzeichnis /windows/System32 ab und wenn diese Datei einmal vom Explorer geladen wurde, könne nichts den Trojaner mehr davon abhalten, Kontakt mit dem Angreifer aufzunehmen.

Die Backdoor-Komponente des Trojaners registriert sich selbst als Dienst, um so in der Lage zu sein, jederzeit Anweisungen und Befehle vom Angreifer empfangen zu können. Die Spyware-Komponente sendet indes Daten über das Betriebssystem, Prozesslisten und Dateien mit bestimmten Suffixen (.eml, .dbx, .wab, .doc, .odt, .pdf, und mehr) inklusive Screenshots nach Hause. Aus den Dateiendungen, nach denen der Trojaner sucht, lässt sich ableiten, das er wohl hauptsächlich entwickelt wurde, um bei Unternehmen zu spionieren. Aber natürlich kann er sich auch auf privaten PCs einnisten, denn laut BitDefender ist der Trojaner auf allen Windows-Plattformen von Windows 95 bis zu Windows 7 lauffähig.

Windows' Malicious Software Removal Tool machtlos gegen Trojaner "Zeus"

Der Trojaner Zeus hat viele Namen. Zbot, PRG, Gorhax, Wsnpoem oder Kneber: völlig egal wie man es nennt, es beschreibt ein äußerst effektives Stück Software zum ausspähen von Bankdaten und es ist schon ziemlich alt. Bereits im Juli 2007 wurde der Trojaner in den USA entdeckt, immer wieder gab es Infektions-Wellen in denen der Trojaner besonders häufig auftrat, zuletzt als Kneber im Spätsommer 2010.

Nun hat Microsoft seinem MSRT beigebracht, Zeus zu erkennen und zu entfernen. Eine gute Nachricht sollte man meinen, aber nun meldet sich Sicherheitssoftware-Hersteller Trusteer zu Wort. Trusteer hat nach eigenen Angaben die Effektivität des MSRT getestet und dabei festgestellt, dass die Microsoft-Sicherheitssoftware nur in 46% die Infektion von Zeus ab Version 2.0 entdeckt und behoben hat. Trusteer bietet mit Rapport eine Software an, die es speziell Trojanern wie Zbot sehr schwer machen soll, an die Bankdaten der Nutzer heran zu kommen.

Laut Trusteer CEO Mikey Boodaei wäre es nicht sehr überraschend, wenn Trojaner wie ZBot in naher Zukunft das MSRT direkt angreifen würde. ZBot hat in vielen Fällen gute Chancen, dies zu tun, weil er meist schon läuft, wenn das Microsoft-Tool erst anfängt zu scannen. Ob und wann das geschehen wird sei noch unklar, nicht zuletzt weil es alles andere als einfach sein wird. Ähnliche Ansätze sind von anderer Malware auf jeden Fall bereits bekannt. So haben schon einige bösartige Programme versucht Antivirenprogramme auszuschalten oder zu sabotieren, jedoch mit begrenztem Erfolg, zumal die Autoren von Antiviren Software schnell reagierten und das Entfernen.

Friedensnobelpreis-Website verteilt Trojaner

Auf der offiziellen Site des Friedensnobelpreises wurde am Dienstag ein Trojaner entdeckt. Firefox-Browser der Versionen 3.5 und 3.6 wurden via Drive-By-Download durch eine Sicherheitslücke im Browser infiziert. Die Sicherheitslücke wird zur Zeit über ein Update von Firefox geschlossen. Wer das Update noch nicht hat, sollte es sich herunter laden, denn der von Mozilla empfohlene Workaround, Javascript abzuschalten ist eigentlich keine Alternative, da bei abgeschalteten Javascript viele Webseiten nicht mehr funktionieren würden. Der unter dem Namen Belmoo.A bekannte Trojaner wohnt im Temp-Verzeichnis von Windows und ist unter dem Dateinamen symantec.exe dort zu finden. Wird der Trojaner aktiviert, legt er in der Registry den Wert Microsoft Windows Update"="[WINDIR]\temp\symantec.exe unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run und HKLM\Software\Microsoft\Windows\CurrentVersion\Run an. Diese beiden Einträge stellen sicher, dass der Trojaner mit Windows gestartet wird. Nach Angaben des Antivirensoftwareherstellers Norman versucht der erst am 24. Oktober (wenig sorgfältig) programmierte Trojaner, Server in Taiwan zu Kontaktiren. Der Code des Trojaners wurde weder komprimiert noch verschlüsselt, daher sollte er von aktuellen Antivirenprogrammen problemlos gefunden werden. Wer sich den Trojaner trotzdem eingefangen hat, kann auf der Website von Norman ein kostenloses Tool zu Entfernen des Trojaners herunterladen.

Update: Multiplattform Trojaner modifiziert

Antivirenspezialist Sohphos berichtet in seinem Blog von neuen Varianten des Cross-Plattform-Trojaner Jnabot bzw. Boonana. Offenbar haben die Schöpfer des Trojaners nachgelegt und den Programmcode umgeschrieben, wohl in der Absicht, unter dem Radar gängiger Antiviren Software zu bleiben. Offenbar hat das nicht funktioniert. Laut Sophos wird Boonana immer noch zuverlässig von Sohpos Antivirus für Mac entdeckt. Auf seinem Youtube Channel hat Sohpos übrigens ein kleines Beispielsvideo eingespielt, das zeigt, wie Boonana einen Mac befallen kann. Interessant ist auch, dass die Experten des Antivirenspezialisten in dem Film auch eindrucksvoll demonstrieren, wie schnell ein Computer unter Ubuntu infiziert ist. Eine Demonstration, die zeigt, dass man sich auch nicht mehr sicher fühlen kann, wenn man Linux einsetzt. Der Film ist zu finden unter http://www.youtube.com/sophoslabs#p/u/8/I7RcKVwoNME

Trojaner Carberp stiehlt Login-Daten

Der Antiviren-Spezialist Bitdefender warnt vor einem Trojaner mit der Bezeichnung Carberp. Carberp späht Zugangsdaten aus, darunter von Online Banking Sites, E-Mail-Dienste oder Logindaten für soziale Netzwerke. Diese Daten können auch trotz verschlüsselter Verbindung zum entsprechenden Internet-Dienst ausgespäht werden, da der Trojaner die Anmeldedaten seiner Opfer noch abgreift, bevor sie verschlüsselt werden. Wenn er die Daten hat, nimmt er via Internet Kontakt zu seinem Kontroll-Server auf und übersendet die Login-Daten dorthin.

Von seinem Kontroll-Server lädt er auch verschlüsselte Konfigurationsdateien und verschiedene Plugins nach, die es ihm ermöglichen, die installierte Antivirensoftware zu umgehen, und so den kompletten Internetverkehr auszuspionieren.

Bitdefender hat auf seiner Website ein kostenloses Tool zum Aufspüren und Beseitigen des Trojaners Carberp zum Download bereit gestellt.