Trojaner kommt mit falscher Telekom-Rechnung

Mittels einer gefälschten Mail, die eine überhöhte Telekom-Rechnung ankündigt, versucht sich der Trojaner DOWNLOAD.RY Zutritt zu Rechnern zu verschaffen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt ausdrücklich vor dem Schädling, der auch als LDPinch.AK bekannt ist. Scheinbar lassen manche Benutzer auf Grund des im Text der Mail angekündigten sehr hohen Rechnungsbetrags jegliche Vorsicht beiseite und öffnen den Anhang (Rechnung.pdf.exe) mit dem Trojaner.

Fauler Trick: Wer angesichts des vermeintlich hohen Betrags in der ersten Aufregung den Anhang öffnet, installiert einen Trojaner. (Quelle: BSI)
Fauler Trick: Wer angesichts des vermeintlich hohen Betrags in der ersten Aufregung den Anhang öffnet, installiert einen Trojaner. (Quelle: BSI)

Der Trojaner lädt nach dem Start die Backdoor Nibu.j aus dem Web nach. Nibu.j seinerseits installiert einen Keylogger, der seine gesammelten Informationen periodisch verschickt. Nibu.j erzeugt im Verzeichnis "C:\WINDOWS" die Dateien „dvpd.dll“, „hetdx.dat“ und „prntsvra.dll“. Im Unterverzeichnis "C:\WINDOWS/system32" kommen die Dateien „dllsys.dll“ und „winldra.dll“ hinzu. Einträge in die Registry gehören ebenfalls zur Routine des Trojaners, um ein Ausführen bei jedem Systemstart zu garantieren.

Durch Modifikation der hosts-Datei versucht der Schädling zu verhindern, dass Antivirenprogramme ein Update von den Servern der gängigen Antivirenhersteller nachladen können. Auch die Webseiten der Antivirenhersteller blockiert der Schädling über die hosts-Datei. Die meisten Anbieter haben die Signaturen ihrer Antivirenprogramme auf DOWNLOADER.RY eingestellt. Um über Bedrohungen auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Virentickerlisten von tecCHANNEL. (uba)