Trojaner Bizex-E nutzt ungepatchte Sicherheitslücke im Internet Explorer [Update]

Der PIN und TAN stehlende Trojaner Bizex-E dringt über die seit drei Wochen bekannte Drag&Drop-Sicherheitslücke im Internet Explorer in Windows-Systeme ein. Auch Windows-XP-Systeme mit installiertem Service Pack 2 sind für solche Angriffe anfällig -- einen Patch von Microsoft gibt es bislang nicht.

Ausgangspunkt für den Trojaner war offenbar eine Anfang September kursierende Mail in holprigem Englisch und Deutsch, in der von einem angeblichen Attentat auf den US-Präsidenten George Bush die Rede war (George Bush sniper-rifle shot!). Der in der Mail enthaltene Link führte auf eine mittlerweile gesperrte chinesische Webseite, auf der eine Modifikation der bekannten Drag&Drop-Exploits dem Anwender beim Anklicken eines Bildes den Trojaner in den Startordner kopiert. Vom "Ziehen und Fallenlassen" merkt der Anwender nicht viel: Beim Anklicken wird das Bild gedragged (angehoben) und ein unsichtbares Fenster (shell:startup) wird per Skript unter das Bild platziert. Beim Loslassen der Maustaste fällt das Bild (drop) dann in das neue Fenster -- den Startordner. Der c't-Browsercheck demonstriert die Drag&Drop-Schwachstelle in einer vereinfachten Form.

Nach einem Neustart installiert sich der Trojaner im System und versucht, gängige Antivirenprogramme zu beenden -- was ihm auf einigen Systemen offenbar auch gelungen ist. Anschließend biegt er einige vom Internet Explorer benutze Funktionsaufrufe so um, dass er in HTTP-Requests enthaltene PINs und TANs mitlesen kann. Bizex-E arbeitet dabei bankenunabhängig, er filtert nur nach dem Stichwort "TAN". Hat er eine TAN erwischt, unterbricht er die Browser-Verbindung zum Bank-Server und sendet die gesammelten Daten per FTP an einen Server im Internet -- auch dieser ist inzwischen nicht mehr erreichbar.

Auch Anwender, die alle üblichen Maßnahmen zum Schutz vor Schädlingen ergriffen hatten, waren trotzdem verwundbar: Ein Patch ist nicht verfügbar und auch die Virenscanner einzelner Hersteller erkennen Bizex-E erst seit kurzem. Andreas Marx von AV-Test hat eine Statistik erstellt, aus der ersichtlich ist, ab wann welcher Hersteller den Schädling erkannte:

(Alle Zeiten GMT, Namensänderungen sind mit aufgeführt)

• AntiVir 06.09.2004 06:44 TR/Small.AZ.1 (exact)
• Bitdefender 10.09.2004 15:51 Trojan.Bizex.E
• Bitdefender 12.09.2004 08:21 Win32.Bizex.E
• Bitdefender 13.09.2004 19:37 Trojan.Bizex.E
• Command 31.08.2004 22:07 W32/Chty.A@bd
• Command 10.09.2004 18:38 W32/Bizex.B
• Dr. Web 09.09.2004 17:21 Trojan.Kemei
• eTrust (CA Engine) 10.09.2004 22:07 Win32/Reign.Z.Worm
• eTrust (VET Engine) 01.09.2004 01:54 Win32.Reign.Z
• Fortinet 07.09.2004 22:28 W32/Bizex.E-tr
• F-Prot 31.08.2004 21:03 W32/Chty.A@bd
• F-Prot 10.09.2004 17:34 W32/Bizex.B
• F-Secure 31.08.2004 09:14 TrojanSpy.Win32.Small.az
• Ikarus 02.09.2004 15:06 TrojanSpy.Win32.Small.AZ
• Kaspersky 30.08.2004 17:58 TrojanSpy.Win32.Small.az
• McAfee ohne Update New Malware.b (virus or variant)
• McAfee 08.09.2004 16:09 Uploader-S
• Norman ohne Update W32/Malware (Sandbox)
• Norman 01.09.2004 14:45 W32/Downloader (Sandbox)
• Panda 10.09.2004 12:14 Trj/Bizex.B
• RAV 09.09.2004 03:39 Trojan:Win32/Uveuh.A
• RAV 10.09.2004 06:18 TrojanSpy:Win32/Bizex.E
• Sophos 02.09.2004 08:20 Troj/Bizex-E
• Symantec 31.08.2004 19:04 Backdoor.Trojan
• Trend Micro 08.09.2004 03:10 TROJ_BIZEX.E
• VirusBuster 07.09.2004 13:47 TrojanSpy.Small.J

Ob eine Personal Firewall zumindest das Versenden der Bankdaten hätte verhindert können, ist unklar -- weitere Testergebnisse dazu folgen. Anwender alternativer Browser wie Mozilla und Opera sollten von dem Angriff aber weitgehend verschont geblieben sein.

Indes mehren sich die Hinweise, dass weitaus mehr Anwender von dem Problem betroffen waren oder immer noch sind als nur in den bislang bekannten zwei Fällen. Einem dpa-Bericht zufolge soll bei mehreren Dutzend Bankkunden Geld vom Konto abgehoben worden sein. Ob sich die von den Banken immer wieder geäußerte Losung: "Online-Banking ist sicher" so noch halten lässt, darf man bezweifeln. Insbesondere verlagern die Banken die notwendigen Sicherheitsmaßnahmen immer mehr auf die Kunden. Diese hätten dafür zu sorgen, dass ihr System schädlingsfrei sei, beispielsweise durch den Einsatz von Virenscannern und das Einspielen von Patches. Dass dies leider offenkundig nicht ausreicht, zeigen die nun bekannt gewordenen Fälle. Zusätzliche Techniken, etwa HBCI, sind notwendig, um dem Kunden wieder das Vertrauen in sicheres Homebanking zurückzugeben.

Siehe dazu auch: (dab)

• Demonstration der Drag&Drop-Lücke auf dem c't-Browsercheck
• Beschreibung von Bizex-E von McAfee
• Virus loading through ActiveX-Exploit auf Full Disclosure
• Beschreibung des Exploits auf Full Disclosure