computerwoche.de

Security

Forscher warnen vor Trojan "hearse"

22.03.2006
Sicherheitsexperten haben eine neuartige Malware-Spezies entdeckt, die Benutzernamen und Passwörter von Web-Surfern stiehlt.

Um Informationen wie Benutzernamen und Passwörter entwenden zu können, muss sich die als "rootkit.hearse" bezeichnete Malware auf dem Rechner des Opfers befinden. Dorthin gelangt sie, indem der Surfer durch einen Trick dazu gebracht wird, den bösartigen Code herunter zu laden, oder indem der Computer mit einer anderen Art von Malware infiziert wird. Einmal installiert, sendet rootkit.hearse die vertraulichen Daten an einen Server in Russland, der als Repository für die gestohlene Information fungiert und offenbar seit dem 16. März betrieben wird.

Wie Sana Security, Anbieter von Sicherheitslösungen für Unternehmen, in einem Advisory beschreibt, besteht die Software aus zwei Komponenten: einem Trojaner, der mit dem russischen Server kommuniziert, sowie einer Rootkit-Software, die den bösartigen Code vor System-Tools und Antiviren-Programmen verbirgt. Laut Sana-CTO Vlad Gorelik ist die von der Malware verwendete Tarntechnik mit der berüchtigten XCP-Rootkit-Software (Extended Copy Protection) von Sony BMG Music Entertainment vergleichbar und dadurch schwer zu lokalisieren. Nach den bisherigen Beobachtungen des Security-Anbieters wurde die Software in Verbindung mit dem im freien Umlauf befindlichen Wurm "Win32.Alca" herunter geladen.

Der Trojaner lauert die meiste Zeit im Hintergrund, kommuniziert jedoch umgehend mit dem russischen Server, sobald ein Nutzer eine Webseite besucht, die Nutzerauthentifizierung erfordert. Die Software kann Passwörter während der Eingabe lesen, aber auch bereits gespeicherte Kennungen aufspüren.

Bis Montag konnten lediglich fünf von 24 Sicherheitsprodukten, die Sana diesbezüglich getestet hat, die neue Malware erkennen. Laut Gorelik verfügte der russische Server gestern bereits über rund 35.000 einzigartige Benutzernamen und Logins, die sich auf 7.000 Webseiten - inklusive Banken, Auktionen und Social-Networking-Sites - nutzen ließen. Sana habe den für die fragliche Seite zuständigen russischen ISP (Internet Service Provider) am Montag informiert - allerdings sei diese bis gestern Morgen immer noch aktiv gewesen. Den Namen des ISPs will das Sicherheitsunternehmen nicht preisgeben. (kf)