Malware tarnt sich mit StudiVZ-Toolbar

Manche Anwender haben bereits so viele Symbolleisten im Browser installiert, dass kaum noch Platz für die Inhalte der besuchten Web-Seiten bleibt. Selbst eingefleischte Toolbar-Fans sollten jedoch auf dieses manipulierte Exemplar verzichten, vor dem der Antivirushersteller McAfee derzeit warnt. Es handelt sich um ein Trojanisches Pferd, eine Kombination aus StudiVZ-Toolbar und Backdoor.

Dennis Elser berichtet im Blog der McAfee Avert Labs über einen Malware-Angriff mit regionalem Bezug. Er zielt auf deutsche Internet-Nutzer, genauer gesagt auf Nutzer des sozialen Netzwerks StudiVZ. Ein manipuliertes Setup-Programm für die StudiVZ-Toolbar installiert neben diesem Programm heimlich auch einen Schädling, der auf mehreren Wegen Daten ausspionieren soll.

Wird das Programm gestartet, beginnt die Installation der Toolbar ohne weitere Auffälligkeiten. Der von McAfee als Variante des Trojanischen Pferds Backdoor-CEP erkannte Schädling verhält sich passiv, wenn bestimmte Sicherheitsprogramme laufen oder er in einer virtuellen Maschine ausgeführt wird. Andernfalls injiziert das Setup-Programm des Code des Schädlings in laufende Prozesse. Alternativ startet es einen legitimen Prozess im Ruhezustand, manipuliert dessen Code im Arbeitsspeicher und setzt seine Ausführung dann fort.

Auf diese Weise ist der Schädling nur schwer zu entdecken, denn er wird nie als Datei auf die Festplatte geschrieben. Ist die Toolbar installiert, startet sogleich der Internet Explorer und ruft die Website von StudiVZ auf. Mitglieder des Netzwerks werden sich, so jedenfalls die Erwartung des Angreifers, gleich bei StudiVZ anmelden. So kann der Schädling die Anmeldedaten abgreifen, in dem der Tastatureingaben protokolliert. Die ausgespähten Daten werden an einen Server in Deutschland übertragen.(PC-Welt/mja)