BSI warnt vor Trojaner in gefälschten Telekom-Mails
Ein neuer Trojaner sucht sich wieder seine Opfer über gefälschte E-Mails mit überhöhten Telefonrechnungen, die angeblich von der Telekom stammen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem neuen Trojaner namens DOWNLOAD.RY. Dieser macht sich auf den Weg, seine Opfer abermals über gefälschte Rechnungs-Mails zu suchen, die angeblich von der Telekom stammen. Der hohe Rechnungsbetrag soll den Empfänger in Panik versetzen, sodass dieser unbedacht den Dateianhang der E-Mail öffnet.
Diese Trojaner-Welle unterscheidet sich also nicht grundsätzlich von denen Anfang Mai und Mitte Januar dieses und schon Mitte Dezember vergangenen Jahres. Der Trojaner lädt aus dem Internet die Hintertür Nibu.J nach und trägt sich in die Windows-Autostart-Registryschlüssel ein. Die nachgeladene Software verankert sich ebenso im Windows-Autostart.
Die Backdoor Nibu.J legt folgende Dateien im System an:
c:\WINDOWS\dvpd.dll
c:\WINDOWS\netdx.dat
c:\WINDOWS\prntsvra.dll
c:\WINDOWS\system32\dllsys.dll
c:\WINDOWS\system32\winldra.exe
Nibu.J fungiert sodann als Keylogger, der regelmäßig die gesammelten Daten ins Netz sendet. Um noch nicht aktualisierter Antivirensoftware keine Möglichkeit auf ein Update zu ermöglichen, modifiziert Nibu.J die hosts-Datei, damit die Seiten sowie Update-Server der jeweiligen Antivirensoftware-Hersteller vom infizierten System nicht mehr erreichbar sind.
Das zweistufige Konzept, den Rechner mit einem Downloader zu infizieren und dann Schadcode aus dem Internet nachzuladen, scheint für die Autoren der Schadsoftware sehr reizvoll zu sein: Diese Angriffswellen häufen sich in letzter Zeit. Die Backdoor-Komponente ist so ständig aktualisierbar und lässt sich gegebenfalls an aktualisierten Virenscannern vorbeischleusen. Die Masche dabei ist auch, die Antivirensoftware außer Kraft zu setzen, sei es über direktes Deaktivieren der Software oder über die Verhinderung von Updates.
Die meisten Hersteller von Antivirensoftware stellen mittlerweile aktualisierte Signatur-Dateien bereit, um den Schädling in den Mails zu erkennen.
Wie immer gilt auch hier, dass ein auch nur halbwegs sicheres Surfen im Netz nur mit eingeschalteter Firewall und laufend aktualisierter Antivirensoftware auf dem System ermöglicht wird. Auch darf man sich nicht durch E-Mails oder Webseiten irritieren lassen, die einem nahelegen, man müsse sein System umgehend mit der feilgebotenen Software aktualisieren oder Dateianhänge öffnen. Zu beachten ist auch, dass selbst E-Mail von Verwandten oder Bekannten einen Schädling mitbringen kann -- bei ihrer Verbreitung fälschen die Würmer und Viren die Absenderadresse. Mehr zum Schutz vor Viren und Würmen und zum sicheren Umgang mit E-Mail findet sich auf den Antiviren-Seiten und im E-Mail-Check von heise Security. (dmk)
