Trojaner-Welle vom Online-Casino
Eine Massen-Mail landet derzeit in Posteingängen von deutschen Internetnutzern, die vorgeblich von einem Online-Casino stammt, bei dem die Nutzer Geld eingezahlt haben sollen. Hinter den Links in der Mail verbirgt sich jedoch ein Trojan-Downloader.
"Es wurden von Ihrer Karte EUR 497.5 abgebucht" – so und ähnlich lauten die Betreffzeilen einer derzeit kursierenden Massenmail, mit der bösartige Individuen versuchen, arglosen Opfern einen Trojaner unterzuschieben. Die Links in der Mail verweisen jedoch allesamt auf einen Server, der dem Anwender einen Trojaner zum Download anbietet.
In der Mail wird erklärt, dass man den im Mail-Betreff genannten Betrag nun bei dem Online-Casino gutgeschrieben bekäme und dort verspielen könne. Ein PDF-Kontoauszug sei auch verfügbar. Der Link verweist jedoch auf eine Datei, die mit bekannten Methoden ihre ausführbare Natur zu verschleiern versucht: Zwischen dem Dateinamen mit der vermeintlichen Endung .pdf und der eigentlichen Dateiendung .exe stehen zahlreiche Leerzeichen.
Diese Datei wird derzeit nur von wenigen Virenscannern erkannt und höchstwahrscheinlich, wie inzwischen üblich, in kurzen Abständen auf dem Server ausgetauscht, um der Entdeckung mit aktualisierten Signaturen der Virenscanner zu entgehen. Es handelt sich dabei um einen etwa 10 KByte großen Downloader, der bei der Ausführung erst den eigentlichen Trojaner aus dem Netz nachlädt. Außerdem nimmt der Downloader einer Sandbox-Analyse von heise Security zufolge Änderungen an den Registry-Einträgen im Winsock-Katalog vor, wo er sich möglicherweise als Layered Service Provider (LSP) einträgt, um die Netzwerkkommunikation anderer Anwendungen über Windows-Sockets zu überwachen.
Der etwa 110 kByte große, nachgeladene Trojaner landet im temporären Ordner als tro.exe. Wenn der Downloader das Schadprogramm ausführt, installiert es sich als Browser-Helper-Object (BHO) und legt die Datei routemon.dll im System32-Verzeichnis von Windows an. Dabei handelt es sich um eine weitere Kopie des Schädlings. Der Virenscanner von Ikarus stuft den nachgeladenen Trojaner als Trojan-Spy ein, der es offenbar auf sensible Daten von Anwendern abgesehen hat.
Empfänger dieser Mail sollten den Links darin nicht folgen und sie umgehend löschen. Weitere Hinweise zum Schutz vor einer Infektion mit Schädlingen liefern die Antiviren-Seiten von heise Security. (dmk)
