29. April 2006 13:57 Uhr
Neue Version des Trojaners "Briz" macht im Netz die Runde!
Duisburg - Eine neue, maßgefertigte Version des Briz-Trojaners macht sich momentan auf die illegale Suche nach geheimen Zugangsberechtigungen und vertraulichen Daten. Der listige Trojaner lockt gutgläubige Internet-Nutzer auf angeblich erotische Webseiten und knüpft ihnen dann ihre Online Bankdaten ab. Besonders auffällig ist die Ähnlichkeit in den Merkmalen und der Vorgehensweise mit dem vor kurzem entdeckten Schädling Briz.A, der auf mehreren Webseiten auf individuelle Wünsche angepasst und zum Verkauf angeboten wurde.
"Die charakteristischen Komponenten von Briz.F weisen darauf hin, dass dieselben Programmierer nun wahrscheinlich mit der gleichen Methode und einer modifizierten Version profitieren möchten", erklärt Luis Corrons, Direktor der PandaLabs, das die neue Version des Schädlings gesichtet hat.
Die Vorgehensweise von Briz.F ist komplex und raffiniert. Der Angriff beginnt automatisch, wenn der User eine der angeblich erotischen Webseiten anklickt. Zur Installation der ersten Briz Datei "iexplore.exe" nutzt der Schädling vorhandene Sicherheitslücken. Er kann sich aber auch durch E-Mails, aus dem Internet geladene Dateien, via P2P und gemeinsame Dateizugriffe auf Netzwerke verbreiten. Diese erste Komponente von Briz.F dient lediglich zum Auskundschaften der System-Umgebung. Wenn der User eine Internet-Verbindung herstellt, wird eine weitere Datei, "ieschedule.exe" aufs System geladen, welche die Windows Security Center Services abschaltet und die vom Hacker benötigten Informationen (Name des Anwenders, IP Adresse, Standpunkt, etc) sammelt.
Gleichzeitig verschafft sich die nächste schädliche Datei "smss.exe" Zugang zum Computer, um die Host Datei zu ändern und den Abbruch der Aktion durch ein Sicherheitsprogramm zu verhindern. Letztendlich erfolgt die für den User schädlichste Ausführung: Die Datei "ieredir.exe" wird installiert, um den Eigentümer des befallenen Rechners auf eine getürkte Bankseite umzuleiten und seine Zugangsdaten mitzuprotokollieren sowie Informationen vom Windows Protected Storage und den E-Mail Programmen Outlook, Eudora und The Bat an den Programmierer zu versenden.
Nachdem sie ihren Zweck erfüllt haben, zerstören sich die meisten dieser Dateien selbständig. Auf diese Weise wird die Ermittlung der Briz.F Opfer erheblich erschwert. "Da sich die neue Briz Version nach getaner Arbeit wieder selbst vernichtet, wird es für traditionelle Antivirenhersteller kompliziert, Gegenmaßnahmen zu ergreifen, ohne den entsprechenden Code zu untersuchen", so Corrons abschließend.
|
|
|
