.. UnART - Portal

knieriem · von **knieriem** am Donnerstag 4. Mai 2006, 18:15

Was als angebliche Excel-Datei mit einem WM-Spielplan dargeboten wird, ist tatsächlich ein Trojanisches Pferd.

Das Landeskriminalamt (LKA) Baden-Württemberg warnt vor Mails, in denen ein Link zu einem angeblichen FIFA-Spielplan für die Fußball-WM enthalten ist. Der Link führt zu einem Web-Server in den USA, wo eine EXE-Datei liegt, die ein Trojanisches Pferd enthält.

Die Spam-artig verbreiteten Mails tragen einen Betreff wie "Fußball Weltmeisterschaft 2006", "Spielplan und Spieltermine bei der FIFA Fussball WM 2006" oder auch "WM 2006 Spielplan - nach Stadten / Stadien". Im Text der Mail wird behauptet, die verknüpfte Datei sei eine selbstauspackende Excel-Datei. Der gleiche Link wurde bereits ein paar Tage zuvor in Mails mit einem Betreff wie "Earn money with help of Google.com" verbreitet.

Durch Anklicken des Links wird eine Datei namens "googlebook.exe" (54 KB) herunter geladen. Wird die Datei aufgerufen, installiert sich ein Rootkit aus der "Haxdoor"-Familie. Dieses dient zur Tarnung eines Spionage-Programms, das Anmeldedaten protokolliert, die ein Benutzer auf Web-Seiten, vorzugsweise denen von Banken, eingibt.

Es handelt sich dabei um einen so genannten "Form-Grabber". Es werden also nicht wie bei herkömmlichen Key-Loggern Tastaturanschläge aufgezeichnet sondern über ein installiertes Browser-Add-on (Browser Helper Object, BHO) die abgeschickten Formulardaten gelesen.

Mittlerweile erkennen fast alle Antivirus-Programme den Schädling an dem enthaltenen Rootkit.

QUELLE