Die Angreifer nutzen dabei eine Sicherheitslücke aus, die eine Funktion innerhalb von Microsofts Internet Explorer betrifft: Als so genannte Browser Helper Objects (BHOs) werden während des Surfens Dynamic Link Libraries (DLLs) auf dem Rechner des Anwenders installiert. Sie können nach Angaben der Sicherheitsexperten von Finjan Software weitreichende Operationen ausführen. Diese Möglichkeit machen sich beispielsweise spezielle Funktionsleisten zunutze, mit der Anwender ihren Browser erweitern können.

Anders als diese läuft im Falle von "PWS-Webmoney.gen" beziehungsweise "Bankhook.A", "PWSteal.aa" oder "TrojanSpy.Win32.Small.aa", wie ein jetzt neu entdeckter Schädling auch genannt wird, der Vorgang jedoch im Hintergrund ab. Erst einmal installiert, überwacht das Programm die während des Surfens im Internet besuchten Web-Seiten. Wird auf einer von mehreren vorgegebenen Sites eine Online-Banking-Sitzung gestartet, protokolliert der Schädling die dabei erfolgenden Tastatureingaben. Passwörter, persönliche Identifikationsnummern (PINs) oder Kontonummern lassen sich so abgreifen, noch ehe sie zur Übertragung via Internet mittels HTTPS verschlüsselt werden. Sämtliche erfassten Informationen sendet das Programm anschließend zur Auswertung an eine vom Angreifer vorgegebene Internet-Adresse, warnt Finjan.

Zu den von dem Angreifer überwachten Bankseiten gehören unter anderem auch die der Deutschen Bank und der Citibank. Die Experten des Internet Storm Center (ISC) berichten auf ihrer Homepage von einem konkreten Fall in einem Unternehmen. Sie warnen: "Das Browser Helper Object erfasst persönliche Daten und versucht sie verschlüsselt zu versenden." Eine ausführliche Beschreibung findet sich unter http://isc.sans.org/presentations/banking_malware.pdf. BHOs lassen sich mit Tools wie dem kostenlosen "BHODemon" von Definitive Solutions überprüfen und gegebenenfalls entfernen. Die Software kann unter http://www.definitivesolutions.com/bhodemon.htm heruntergeladen werden. (ave)