Phishing: Trojaner gibt sich als Windows-Aktivierungs-Programm aus

07.05.2007
Symantec warnt vor einer Phishing-Attacke: Ein Trojaner tarnt sich als Windows-Aktivierungs-Programm und will Anwender zur Preisgabe ihrer Kreditkartendetails bewegen.

Symantec ist auf ein Phishing-Programm gestoßen, das mit Hilfe einer Eingabemaske für eine angebliche Windows-Aktivierung versucht, an Kreditkarteninformationen von PC-Nutzern zu gelangen.

Technisch biete der auf den Namen "Kardphisher" getaufte Trojaner nicht viel Neues, allerdings habe sich sein Autor alle Mühe gegeben, ihn legitim erscheinen zu lassen, erläutert Symantec-Experte Takashi Katsuki das Bemerkenswerte an dem aktuellen Schädling. Nach der Installation der Malware erscheint ein Fenster mit der Mitteilung, diese Windows-Kopie sei von einer anderen Person aktiviert worden. Auf einen Appell an den Nutzer, seine Windows-Kopie zu reaktivieren, um Software-Piraterie vorzubauen, folgt der Hinweis, hierzu würden die Kreditkartendaten des Anwenders abgefragt, die Kreditkarte selbst jedoch nicht belastet.

Verweigert der Nutzer die Eingabe, fährt der PC automatisch herunter, so Katsuki. Wer sich dafür entscheidet, wird zur Eingabe seines Namens und seiner Kreditkarteninformationen aufgefordert – die dann an den Server des Angreifers weitergeleitet werden. "Dieser Trojaner erteilt uns allen die Lektion: traue niemandem", warnt der Experte.

Die gefälschten Reaktivierungs-Screens des Trojaners erscheinen bis ins Detail täuschend echt. So verweist das erste Fenster auf die echte Anti-Piracy-Site von Microsoft. Hinzu kommt, dass Windows XP in bestimmten Fällen – etwa nachdem umfangreiche Hardwareänderungen vorgenommen wurden, tatsächlich eine Reaktivierung fordert. Microsoft verlangt dafür allerdings niemals persönliche Informationen wie Kreditkartendaten.

Durch den Trojaner potenziell gefährdet sind Systeme unter Windows 95, 98, 2000, NT und XP sowie Windows Server 2003. (kf)