Eine scheinbar nur auf Australier zielende Mail installiert Malware, die auch deutsche Banken betrifft. Die Opfer können mittels Google Maps lokalisiert werden.In dieser Woche macht eine Mail die Runde, die mit einem Betreff aufmacht, in dem es um einen angeblichen Herzanfall des australischen Premierministers geht, zum Beispiel: "Prime Minister survived a heard attack". Der Textteil der Mails ist nicht wie bei dieser Masche sonst üblich leer. Vielmehr sind verschiedene Links enthalten, einer pro Mail, mit dem Hinweis "Read more".
Die verlinkten Websites zeigen eine vorgetäuschte Fehlermeldung an und fordern den Besucher auf Antivirus und Firewall zu aktivieren, damit die Seite angezeigt werden kann. Die Seite dient dazu ein Trojanisches Pferd einzuschleusen, das weitere Malware nachlädt. Sie nutzt dazu eine Sicherheitslücke in der MDAC-Funktion (Microsoft Data Access Components), die mit dem Sicherheits-Update zum Microsoft Security Bulletin MS06-014 geschlossen werden kann.
Bei Nutzung des Internet Explorers wird eine Datei "iexplore.exe" herunter geladen und ausgeführt. Unter den dabei installierten Komponenten ist auch ein Modul, das alle Web-Aktivitäten des Benutzers überwacht und dabei besonders auf Banken-Websites achtet. Unter den überwachten Banken sind nach Angaben des Sicherheitsunternehmens Websense auch die Deutsche Bank, die Commerzbank, die Postbank sowie Sparkassen.
Wie Elia Florio im Weblog von Symantec Security Response berichtet, verfügt das Botnet, dem die verseuchten Rechner zugefügt werden, über eine leicht bedienbare Web-Oberfläche namens "Nuklus Toolkit" zur Steuerung und Überwachung der Zombies. Die auf den Zombie-Rechnern installierte Malware kann auch im Browser gespeicherte Zertifikate stehlen.
Websense berichtet außerdem, dass die Steuerungs-Software des Botnets über eine Funktion verfügt, mit der verseuchte Rechner an Hand ihrer IP-Adresse lokalisiert und ihr Standort in Google Maps dargestellt werden kann. Wofür das gut sein mag, bleibt allerdings im Unklaren. Die meisten Opfer hat diese Masche in Australien, den USA und Großbritannien gefunden.
Quelle :
www.pcwelt.de
