BSI warnt vor Trojaner in gefälschten Telekom-Mails |
07/05/2005 |
Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) warnt vor einem neuen Trojaner namens DOWNLOAD.RY. Dieser macht sich
auf den Weg, seine Opfer abermals über gefälschte Rechnungs-Mails zu suchen,
die angeblich von der Telekom stammen. Der hohe Rechnungsbetrag soll den
Empfänger in Panik versetzen, sodass dieser unbedacht den Dateianhang der
E-Mail öffnet.
Diese Trojaner-Welle unterscheidet sich
also nicht grundsätzlich von denen Anfang Mai und Mitte Januar dieses und
schon Mitte Dezember vergangenen Jahres. Der Trojaner lädt aus dem Internet
die Hintertür Nibu.J nach und trägt sich in die Windows-Autostart-Registryschlüssel
ein. Die nachgeladene Software verankert sich ebenso im Windows-Autostart.
Die Backdoor Nibu.J legt folgende Dateien
im System an:
c:\WINDOWS\dvpd.dll
c:\WINDOWS\netdx.dat
c:\WINDOWS\prntsvra.dll
c:\WINDOWS\system32\dllsys.dll
c:\WINDOWS\system32\winldra.exe
Nibu.J fungiert sodann als Keylogger, der
regelmäßig die gesammelten Daten ins Netz sendet. Um noch nicht aktualisierter
Antivirensoftware keine Möglichkeit auf ein Update zu ermöglichen, modifiziert
Nibu.J die hosts-Datei, damit die Seiten sowie Update-Server der jeweiligen
Antivirensoftware-Hersteller vom infizierten System nicht mehr erreichbar
sind.
Das zweistufige Konzept, den Rechner mit
einem Downloader zu infizieren und dann Schadcode aus dem Internet nachzuladen,
scheint für die Autoren der Schadsoftware sehr reizvoll zu sein: Diese
Angriffswellen häufen sich in letzter Zeit. Die Backdoor-Komponente ist
so ständig aktualisierbar und lässt sich gegebenfalls an aktualisierten
Virenscannern vorbeischleusen. Die Masche dabei ist auch, die Antivirensoftware
außer Kraft zu setzen, sei es über direktes Deaktivieren der Software oder
über die Verhinderung von Updates.
Die meisten Hersteller von Antivirensoftware
stellen mittlerweile aktualisierte Signatur-Dateien bereit, um den Schädling
in den Mails zu erkennen.
Wie immer gilt auch hier, dass ein auch
nur halbwegs sicheres Surfen im Netz nur mit eingeschalteter Firewall und
laufend aktualisierter Antivirensoftware auf dem System ermöglicht wird.
Auch darf man sich nicht durch E-Mails oder Webseiten irritieren lassen,
die einem nahelegen, man müsse sein System umgehend mit der feilgebotenen
Software aktualisieren oder Dateianhänge öffnen. Zu beachten ist auch,
dass selbst E-Mail von Verwandten oder Bekannten einen Schädling mitbringen
kann -- bei ihrer Verbreitung fälschen die Würmer und Viren die Absenderadresse.
Mehr zum Schutz vor Viren und Würmen und zum sicheren Umgang mit E-Mail
findet sich auf den Antiviren-Seiten und im E-Mail-Check von heise Security.
Quelle: heise.de
