Angebliche Lottoseite verbreitet Trojaner[Update]

Wer kürzlich in der Hoffnung, Gewinner eines Lottogewinns zu sein, die Seite des Anbieters SUPER DE LOTTO (www.superdelotto.com) besuchte, könnte eventuell mit einem Trojaner infiziert sein. In betrügerischen E-Mails, die in ziemlich hanebüchenem Deutsch verfasst sind, wird dem Empfänger mitgeteilt, er hätte 250.000 Euro gewonnen. Um in den Genuss des Geldes zu kommen, sei eine Bestätigung auf den Seiten der Lotterie erforderlich.

Wer auf den in der Mail enthaltenen Link klickt, bekommt statt des Geldes einen in JavaScript geschriebenen Trojaner namens JS/PadoLoad-As im Browser überreicht. Der schreibt sich in den Autostart-Ordner, um beim nächsten Start weitere Malware nachzuladen, die eine Backdoor auf dem System öffnet. Da der Trojaner in JavaScript geschrieben ist, genügt das Abschalten von Scripting-Code im Browser, um sich davor zu schützen.

Update
Weitere Untersuchungen in der heise-Security-Redaktion haben gezeigt, dass es sich bei dem Trojaner um eine Bizex-Variante handelt, die über die Drag&Drop-Schwachstelle im Internet Explorer in Systeme eindringt. Bizex.E schnüffelte bereits Anfang September die PINs und TANs von Bankkunden aus. Für die Lücke gibt es allerdings von Microsoft einen Patch. Wer den Patch beim Besuch der oben genannten Seite nicht installiert hatte, wurde unter Umständen unbemerkt infiziert. Nicht alle von uns getesteten Virenscanner bemerkten den Einbruchsversuch.

Ob man infiziert ist, lässt sich schwer feststellen, da der Trojaner weder im Taskmanager, im Windows Explorer noch mit dem Registry-Editor Regedit.exe zu sehen ist. Eine Beschreibung des Trojaners und wie man ihn entfernt, liefern unter anderem Symantec und Sophos. Zu beachten ist, dass man vor einem Scan beziehungsweise der Reinigung Windows unbedingt in den abgesicherten Modus booten sollte.

Siehe dazu auch in Telepolis: (dab)

• Die lustige Virenschleuder