GMER auf Abwegen

Online-Banking: Trojaner nutzt Anti-Rootkit-Tool

Bewährte Anti-Rootkit-Software eignet sich anscheinend auch hervorragend, um Sicherheitsprogramme von Banken zu beseitigen. Das nutzt ein Trojanisches Pferd, das auf Bankkonten spezialisiert ist.

Brasilien ist so ziemlich das heißeste Pflaster weltweit, wenn es um Trojanische Pferd geht, die Zugangsdaten für das Online-Banking ausspionieren. Kaum sonst irgendwo auf der Welt gibt es so viele Malware-Programmierer, die sich damit befassen. Daher tobt dort auch der heftigste Wettstreit zwischen Banken und Online-Kriminellen um Schutzmaßnahmen und wie sie auszutricksen sind. Neuerdings kommen sogar Anti-Rootkit-Tools zum Einsatz - jedoch nicht auf Seiten der Banken.

Wie Jessa De La Torre im Malware Blog des Antivirusherstellers Trend Micro berichtet, sind es vielmehr die Malware-Programmierer, die das legitime Anti-Rootkit-Programm GMER nutzen, um Sicherheitsmaßnahmen auszuhebeln. Ein von Trend Micro als "TROJ_DLOAD.BB" bezeichneter Schädling lädt eine Kopie von GMER sowie eine schädliche Rootkit-Komponente herunter. Er erstellt dann eine Batch-Datei, die mit Hilfe der GMER-Funktion "killfile" den Browser-Schutz "G-Buster Browser Defense" abschießt. Diese Software wird von vielen brasilianischen Banken als Browser-Plugin an ihre Online-Kunden ausgegeben und soll sie vor Datendiebstahl schützen.

Wie der Sicherheitsforscher Aviv Raff bestätigt, nutzen Online-Kriminelle außer GMER auch ein weiteres Anti-Malware-Tool namens "Avenger", um das GBPlugin brasilianischer Banken aus dem Weg zu räumen. (PC-Welt/cvi)