Behälterfälschung

Trojaner maskiert sich als Nachrichten-Newsletter

Das Ding ist topaktuell, verbreitet die heißesten Schlagzeilen und kommt perfekt gestylt als Newsletter des US-Nachrichtensenders CNN daher – und doch ist es nichts als ein Trojaner. “Crowt-A” habe es auf vertrauliche Daten abgesehen, warnt das IT-Sicherheitsunternehmen Sophos.

[...]

Bei jedem Versand holt sich das Virus frische Schlagzeilen von der CNN-Webseite ab, montiert sie zu einem aktuellen Newsletter und verschickt ihn mit einer entsprechend aktuellen Betreffzeile. Eine völlig neue, potenziell durchaus gefährliche Masche, findet Carole Theriault von Sophos: “Virenschreiber suchen ständig nach neuen Tricks, um arglose Computernutzer dazu zu bringen, ihre Schadprogramme auszuführen.” “Crowt-A” nutze da geschickt den weit verbreiteten Hunger nach Nachrichten.

Das Virus selbst ist kein Killer, auch nicht sonderlich weit verbreitet – aber es ist eine Art Prototyp: Mit ähnlichen Attacken wird man in Zukunft wohl öfter rechnen müssen.

“Crowt-A” hinterlegt auf betroffenen Rechnern ein Trojaner-Programm, das über den so genannten Port 80, über den der Datenaustausch zwischen Rechner und Internet läuft, Kontakt zu einem Webserver hält und auf weitere Befehle wartet. Der Trojaner verfügt über eine Keylogger-Funktion, mit der er Tastatureingaben aufzeichnen kann, um diese an den fremden Server weiterzumelden. So könnte “Crowt-A” beispielsweise PIN-Nummern und Passworte “abfischen”.

[...]

Seit dem heutigen Mittwochmorgen sind wieder gefälschte Telekom-Mails unterwegs, die vorgeben, die aktuelle Telefonrechung zu enthalten. Im Anhang der Mail findet der Empfänger diesmal keinen Link, sondern beispielsweise die Datei Rechnung18745514.chm. CHMs sind Hilfe-Dateien in einem komprimiertem HTML-Format und werden vom Internet Explorer ausgeführt. Einmal lokal gestartet, haben sie volle Zugriffsrechte, wenn der Anwender als Administrator angemeldet ist.

Ein Klick auf die vermeintliche Rechnung installiert nach ersten Erkenntnissen einen Trojaner, der weitere Dateien nachlädt. Derzeit stufen ihn nur Bitdefender (AV-Killer) und NOD32 (NewHeur_PE) als möglichen Schädling ein. Anwender, die solch eine Mail erhalten haben, sollten auf gar keinen Fall den Anhang öffnen oder speichern. Wann die Hersteller von Antivirensoftware neue Signaturen veröffentlichen, ist noch nicht klar. Auch ist noch nicht abzusehen, wie stark sich der Trojaner verbreitet. Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sich auf den Antiviren-Seiten von heise Security.