Web

 

Trojanisches Pferd tarnt sich als Bankkorrespondenz

12.11.2003

MÜNCHEN (COMPUTERWOCHE) - Die Virenexperten von MessageLabs warnen vor einem neu entdeckten Trojanischen Pferd mit der Bezeichnung "Downloader!4c52". Es wird über eine Spam-Mail verbreitet, die vorgibt, Kreditinformationen zu enthalten. Die Schadroutine steckt im Attachment mit der doppelten Extension ".htm.pif", so dass auf Rechnern mit Windows-Standardeinstellungen der Eindruck erweckt wird, es handle sich um eine harmlose HTML-Datei.

Wird der Mail-Anhang ausgeführt, versucht der Schädling, eine weitere Komponente von einer russischen Gratis-Hosting-Website nachzuladen. Außerdem kopiert sich das Schadprogramm in den Windows-System-Ordner und installiert dort eine DLL-Bibliothek mit Proxy-Server-Funktionen. Damit können beliebige Internet-Aktivitäten ungehindert und vom Opfer unbemerkt über betroffene Rechner abgewickelt werden.

Infizierte Mails sind an der Betreffzeile "Re: Your credit application" zu erkennen und enthalten den Nachrichtentext

Dear Sir! Thank you for your online application for a Home Equity Loan. In order to be approved for any loan application we pull your Credit Profile and Chexsystems information, which didn't satisfy our minimum needs. Consequently, we regret to say that we cannot approve you for Home Equity Loan at this time.

*Attached are copy of your Credit Profile and Your Application that you submitted with us. Please take a close look at it, you will receive hard copy by mail withing [sic]next few days.

Die Experten raten, entsprechende E-Mails sofort zu löschen und den Virenschutz auf den aktuellen Stand zu bringen. (lex)