Die Infektion erfolgt nach derzeitigem Kenntnisstand über Pop-up/Pop-under-Werbung, die von infizierten Ad-Servern ausgeliefert wird. Über eine bekannte Lücke im Internet Explorer wird eine CHM-Datei nachgeladen und ausgeführt, bei der es sich offenbar um das Trojaner-Ladeprogramm handelt. Es lädt eine 27.648 Byte große, als GIF getarnte Datei nach, bei der es sich in Wirklichkeit um ein UPX-komprimiertes Win32-Programm handelt, und startet diese.
Dieses Executable ist ein File-Dropper, der den eigentlichen Trojaner als DLL mit zufälligem Namen unter C:\WINDOWS\System32 ablegt. Die DLL wird gleichzeitig als Internet-Explorer-BHO (Browser Helper Object) registriert. Über BHOs, die der Internet Explorer ab Version 4.0 beim Start automatisch lädt, lassen sich zusätzliche Funktionen in den Browser integrieren. Dazu erhalten BHOs Zugriff auf alle Daten und Events einer Browser-Session.
In diesem Fall klinkt sich das BHO in die HTTPS-Verbindungen zu URLs von mehreren Dutzend Finanzinstituten in zahlreichen Ländern ein. Dabei fängt es sämtliche ausgehenden POST- und GET-Requests bereits vor der SSL-Verschlüsselung ab. Die so erhaltenen Klartext-Daten der Online-Banking-Verbindung sendet das BHO über eine ausgehende HTTP-Verbindung an ein Perl-Script auf einem präparierten Webserver. Die URLs, bei denen der Trojaner mithört, sind in der DLL hardcodiert. In Deutschland sind betroffen:
- .deutsche-bank.de
- .citibank.de
- .sparkasse-banking.de
- banking.lbbw.de (Landesbank Baden-Württemberg)
- dit-online.de (Deutscher Investment-Trust)
(weiter auf der nächsten Seite)
Maßnahmen zur Desinfektion
Entdeckt wurde die Malware vom SANS Internet Storm Center (ISC). Ein Anwender, bei dem sich der Trojaner eingenistet hatte, sich jedoch aufgrund eingeschränkter Benutzerrechte nicht installieren konnte, hatte um Hilfe gebeten. Eine Beschreibung des Vorfalls samt ausführlicher Analyse des Trojaners und Liste der betroffenen URLs bietet das ISC als PDF an.
Als Maßnahme zur Desinfektion empfiehlt das ISC den Einsatz des Werkzeugs BHODemon, das die Registry nach installierten BHOs absucht und deren gezielte Deaktivierung ermöglicht. Das Tool zeigt allerdings alle installierten BHOs an, nicht nur Malware. Um einer Infektion vorzubeugen, sollten Sie dem Internet Explorer das Active Scripting generell untersagen - oder noch besser, einen sichereren Browser verwenden. Nach derzeitigem Wissenstand relativ gefahrlos im Web unterwegs sind Sie beispielsweise mit der Open-Source-Websuite Mozilla oder deren Stand-alone-Browser Firefox. (jlu)