Sicherheitsfirmen warnen vor einem neuen Trojaner, der auf Hunderttausenden von Rechnern nichts ahnender Benutzer installiert sein soll, um dort Kontoinformationen auszuspähen. Glaubt man Ken Dunham, dem Leiter des Rapid Response Teams bei dem zu Verisign gehörenden Sicherheitsunternehmen iDefense, dann ist "Metafisher" besonders heimtückisch. Das bestätigt Eric Sites, Vice President Research and Development bei Sunbelt Software: Besonders die im Hintergrund arbeitenden Kommando- und Kontroll-Server, über die die Steuerung der mit Metafisher verseuchten Rechner erfolgt, seien hoch entwickelt.

Für gewöhnlich sammeln diese Server hauptsächlich Daten von den Bots und senden einige wenige Befehle an diese, weiß Sites. Metafisher hingegen verfüge über ein so ausgereiftes Management-Interface, wie man es normalerweise nur in professionellen IT-Abteilungen vorfinde.

Dunham zufolge benutzt Metafisher eine PHP-basierende Web-Seite, um die Infektionen pro Land zu verfolgen und zudem Programmvarianten sowie Skripte zu verwalten. Außerdem biete es eine Abfrageroutine, um gestohlene Daten zu filtern und Keylogger- beziehungsweise Konteninformationen zu bestimmten Schlüsselwörtern zu finden. Sites fügt hinzu, dass über die Kontroll-Server auch verwaltet wird, welche Angriffskomponenten auf einen PC geladen werden. So sei es den Angreifern möglich, abhängig vom verwendeten Betriebssystem spezielle Tools auf dem Rechner eines Opfers zu installieren.

Die Infizierung der Rechner soll über E-Mails erfolgt sein, mit denen die Opfer auf eine bösartige Web-Seite geleitet wurden. Dort gelangten über die Ausnutzung der Windows-Metafile-Schwachstelle (WMF) dann die Trojaner auf die PCs. Betroffen sollen vor allem Kunden von großen Banken in England, Spanien und Deutschland sein. Um welche Finanzinstitute es sich im Speziellen handelt, ist nicht bekannt.

Sunbelt-Mann Sites berichtet, dass einer der Kontroll-Server sich in Washington, D.C. befinden soll. Innerhalb eines Zeitraums von vier Tagen seien dort etwa 29.000 infizierte Rechner gemeldet worden. Der zuständige ISP habe sich trotz entsprechender Anfragen jedoch bislang geweigert, den Server vom Netz zu nehmen. (ave)